Asunto:
requested info
Texto del mensaje:
Thank for your order and your confidence in us.

Archivo adjunto:
REQUESTED_INFO.DOC.vbs

Note la doble extensión .DOC.VBS (Vea en nuestro sitio como "Habilitar la opción para poder ver las extensiones verdaderas de los archivos."). Dependiendo de la configuración del sistema, la verdadera extensión (.VBS) no será visualizada, apareciendo ante nosotros como "REQUESTED_INFO.DOC".

Si pinchamos sobre el archivo adjunto (doble clic), el gusano revisa el sistema en busca de un software específico, se supone que perteneciente al Union Bank of Switzerland.

Para ello revisa si existe esta clave en el registro:

HKCU\Software\UBS\UBSPIN\Options
Datapath

Si la encuentra, crea un archivo HOSTS en el directorio de Windows. El archivo contiene estos datos:

194.200.44.88 telebank1.ubs.com
194.200.23.12 www.avp.ch

Luego, envía tres mensajes presuntamente al autor del virus a estas direcciones:

592ad5uc@mailandnews.com
tlvmqsj@netscape.net
afwv582f@excite.com

Finalmente, borra el archivo HOSTS y no hace nada más.

Pero si los datos buscados en el registro no existen, el gusano ejecuta su rutina de propagación, abre el Outlook, accede a su libreta de direcciones, y envía mensajes a todos los contactos de la misma. Las características del mensaje son las mismas que las del recibido anteriormente.

El mayor peligro de este virus, es el envío en masa de gran cantidad de mensajes, lo que de propagarse su infección, podría causar el mismo colapso en muchas empresas y servidores, similar a como lo hiciera en su momento el virus Melissa.

Si se tiene deshabilitado el Windows Scripting Host, el virus no podrá ejecutarse (Vea en nuestro sitio cómo "Deshabilitar el Windows Scripting Host en nuestro PC".

Fuentes: AVP, Trend Micro.