De: [cualquier dirección obtenida]
Para: [dirección destinatario]
Asunto: CARTOON [número al azar]
Datos adjuntos: CARTOON_[número al azar].exe

Texto en formato HTML:

CARTOON [número al azar]
The #1 Site for: Cartoons, Hentai & Anime
HORNY LITTLE TOONS EXCLUSIVE HENTAI CONTENT
EROTIC ANIME MOVIES
NEVER SEEN BEFORE CARTOON SLUTS
JAPANESE MANGA TOONS

ENTER CARTOON [número al azar]
HERE!!

To = unsubscribe click A here

Cuando se ejecuta, el gusano crea una copia de si mismo con alguno de estos nombres y ubicación:

c:\windows\system\adurk-a.exe
c:\windows\system\i_love_you.exe
c:\windows\system\[nombre al azar].exe

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Namesd = [nombre del ejecutable del gusano]

También crea la siguiente entrada, para registrarse como un objeto OLE:

HKCR\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\LocalServer32
(predeterminado) = c:\windows\system\adurk-a.exe

Las XXXX son valores hexadecimales generados al azar.

NOTA: OLE (Object Linking and Embedding), proporciona un estándar que permite a los objetos, aplicaciones y componentes ActiveX, comunicarse entre sí con la finalidad de usar el código de los demás. Los objetos no necesitan conocer por anticipado en qué objetos se van a comunicar, ni su código necesita estar escrito en el mismo lenguaje.

También crea la siguiente entrada:

HKLM\SYSTEM\CurrentControlSet\Services\i_love_you.exe
ImagePath = [un valor hexadecimal]
DisplayName = i_love_you.exe

El gusano muestra también el siguiente mensaje falso:

Error System Seting
The object can't accept the call because
its initialize function or equivalent has
not been called.
[  OK  ]

El gusano se propaga a cada recurso compartido en red utilizando el nombre I_LOVE_YOU.EXE para copiarse en cada disco y carpeta compartida.

Para propagarse por correo electrónico utiliza el protocolo SMTP(Simple Mail Transfer Protocol), utilizando la información obtenida en la siguiente clave del registro:

HKCU\Software\Microsoft\Internet Account Manager\Accounts

Los mensajes son enviados a direcciones seleccionadas de la máquina infectada, siendo también el remitente seleccionado de la lista obtenida. Por lo tanto, el remitente de los mensajes no es realmente quien dice enviarlos.


Reparación manual

Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

1. Actualice sus antivirus con las últimas definiciones

2. Ejecútelos en modo escaneo, revisando todos sus discos y recursos compartidos en red

3. Borre los archivos detectados como infectados


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Namesd

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services
\I_love_you.exe

5. Pinche en la carpeta "I_love_you.exe" y bórrela.

6. En el editor del registro, seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada lo siguiente:

adurk-a.exe

7. Pinche en el botón "Buscar siguiente" y borre todas las entradas que aparezcan. Por ejemplo, si aparece una entrada como ésta:

HKEY_CURRENT_USER
\CLSID
\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
\LocalServer32

(predeterminado) = c:\windows\system\ADURK-A.EXE

Borre la carpeta {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, donde las XXXX representan caracteres hexadecimales.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com