HKEY_CURRENT_USER\Software\vcards

Crea también una carpeta C:\vcache, donde se copia a si mismo como VCARDS.VBS. El gusano despliega una serie de ventanas de mensajes conteniendo la siguiente cadena de texto:

Message to your peeps
Enter a message for people getting your card?

Cuando el usuario infectado pulsa Enter o pincha en [ OK ], el virus construye un mensaje con formato HTML, usado como cuerpo de los mensajes que luego reenviará. 

También realiza una búsqueda en todas las unidades de disco locales, de tres archivos JPG que tengan un tamaño entre 40 Kb y 120 Kb, los que adjunta a los mensajes, previo a copiarlos como tres archivos VCRD (archivos del tipo tarjetas electrónicas) en la carpeta C:\Vcache:

vcrd01.jpg
vcrd02.jpg
vcrd03.jpg

El gusano crea también en esa carpeta un archivo HTML (detectado como virus), que puede ser abierto por el Explorer.

Los mensajes enviados por el gusano, tienen estas características:

Asunto: You have a special VCard!

Texto del mensaje:
Hi!Click the "vcards.vbs" to view your card!
One of your friends is giving you a voyeuristic
glimpse of their personal images.
The images were randomly chosen and are totally
uncensored!
There is no telling what you will see!
Click the "vcards.vbs" file that is attached to
this email to see the uncensored images, and send
your own images out to the people in your address
book!
+ + + + + + + + + + + + + + + + + + + + + + + +
Message from your friend:
[Mensaje ingresado por el usuario antes]
+ + + + + + + + + + + + + + + + + + + + + + + +
If you are not interested? Just delete this email.
VCards "Lets get with hot communications"

Datos adjuntos: vcrd01.vcrd, vcrd02.vcrd, vcrd03.vcrd y vcards.vbs

Utiliza el Outlook para enviar su mensaje infectado a todos los usuarios de la libreta de direcciones. Si esto se cumple satisfactoriamente, el gusano crea la siguiente entrada en el registro, que luego consultará para no enviarse nuevamente desde el mismo usuario.

HKEY_CURRENT_USER\Software\vcards\
mailed = 1

Para limpiar un sistema infectado, ejecute un antivirus actualizado a la brevedad posible, y borre la carpeta C:\VCache con todo su contenido (use el Explorador de Windows para ello).

No cambie la entrada del registro, ya que impedirá que el gusano se vuelva a ejecutar.

Nota: existe un conocido HOAX que hace referencia a una tarjeta virtual, pero no olvide que en este caso, si se trata de un virus:

VSantivirus No. 129 - 14/nov/00
Hoax: Una tarjeta virtual para Usted
http://www.vsantivirus.com/tarjeta.htm

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com