Asunto: Fw: Scherzo!
Adjunto: javascript.exe

El cuerpo del mensaje contiene referencias a personajes como King Kong y Pokemon. Es sumamente extenso y escrito en italiano (se muestra más abajo).

El archivo JAVASCRIPT.EXE es un ejecutable en formato PE (Portable Executable), escrito en Assembler y de tan solo 6,6 Kb.

Para ejecutarse el gusano utiliza la falla en el IE conocida como "IFRAME vulnerability". De este modo, no es necesario abrir el adjunto para activarlo.

Esta vulnerabilidad afecta a las versiones anteriores a la 5.5 del Internet Explorer, y permite la ejecución de código malicioso por el simple acto de abrir para leer, un mensaje de correo (Windows 95, 98 y NT).

Este gusano, a diferencia de la mayoría, no se instala a si mismo en el sistema, y solo se activa cuando el usuario abre el mensaje para leerlo o lo visualiza en la vista previa, aunque esto se puede repetir cada vez que se accede al mensaje bajo las condiciones ya vistas.

Es decir, activa su rutina de propagación solo cada vez que el usuario accede al mensaje como se explicó anteriormente, pero no modifica el registro ni realiza otros cambios, para activarse por si solo al reiniciarse la computadora, por ejemplo.

Esto hace que la forma de eliminarlo sea muy sencilla, simplemente borramos el mensaje infectado.

Para enviar los mensajes infectados, el gusano utiliza una conexión directa al servidor SMTP configurado en la cuenta predeterminada del usuario. Para obtener las direcciones de envío, el gusano explora las bases de datos .WAB (libreta de direcciones del Outlook).

El gusano descarga el archivo conteniendo el mensaje a enviar, del sitio http://banners.interfree.it. Esto permite al autor del gusano actualizarlo con nuevas versiones, o forzarlo a propagar otros códigos maliciosos fácilmente.

Este es el texto completo del cuerpo del mensaje:

Con questa mail ti e stata spedita la FortUna; non la 
fortuna e basta, e neanche la Fortuna con la F 
maiuscola, ma addirittura la FortUna con la F e la U 
maiuscole. Qui non badiamo a spese. Da oggi avrai 
buona fortuna, ma solo ed esclusivamente se ti liberi 
di questa mail e la spedisci a tutti quelli che conosci. 
Se lo farai potrai: 
- produrti in prestazioni sessuali degne di King Kong 
per il resto della tua vita 
- beccherai sempre il verde o al massimo il giallo ai semafori
- catturerai tutti e centocinquantuno i Pokemon incluso 
l'elusivo Mew 
- (per lui) quando andrai a pescare, invece della solita 
trota tirerai su una sirena tettona nata per sbaglio con gambe umane 
- (per lei) lui sara talmente innamorato di te che ti 
come una sirena tettona nata per sbaglio con le gambe 
Se invece non mandi questa mail a tutta la tua list 
entro quaranta secondi,allora la tua esistenza diventera 
una 
grottesca sequela di eventi tragicomici, una colossale 
barzelletta che suscitera il riso del resto del pianeta, 
e ticondurra ad una morte orribile, precoce e solitaria...
No, dai, ho esagerato: hai sessanta secondi.
Cascaci: e' tutto vero.
Puddu Polipu, un grossista di aurore boreali
cagliaritano, spedi' questa mail a tutta la sua lista
ed il giorno dopo vinse il Potere Temporale della Chiesa
alla lotteria della parrocchia.
Ciccillo Pizzapasta, un cosmonauta campano che
soffriva di calcoli, si preoccupo di diffondere
questa mail: quando fu operato si scopri' che i suoi
calcoli erano in realta diamanti grezzi.
GianMarco Minaccia, un domatore di fiumi del Molise
che non aveva fatto circolare questa mail,
perse entrambe le mani in un incidente subito dopo
aver comprato un paio di guanti.
Erode Scannabelve, un pediatra mannaro di
Trieste,non spedi a nessuno questa mail: dei suoi tre figli
uno comincio a drogarsi,
il secondo entro in Forza Italia
e il terzo si iscrisse a Ingegneria.

Para eliminar el virus de un sistema infectado, solo borre el mensaje que lo contiene, vacíe la carpeta Elementos eliminados, y comprima la base de datos (En Outlook Express: Archivo, Carpeta, Compactar).

Ejecute finalmente uno o más antivirus actualizados.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com