http://bluefoxmedia.com/card/sample.htm

Luego procede a enviarse a los primeros 100 contactos de la libreta de direcciones del Outlook.

Los mensajes están generados con una combinación de los siguientes asuntos y textos:

Asuntos:

[nombre] - this is a funny greeting card.
[nombre] - I thought you would enjoy this greeting card.
[nombre] - you should enjoy this funny greeting card.

Textos:

[nombre],
This greeting card made me laugh,
I thought you would enjoy it.
http://bluefoxmedia.com/card/sample.htm

[nombre],
Check out this fun greeting card I found,
it’s hilarious.
http://bluefoxmedia.com/card/sample.htm

[nombre],
This greeting card made my day I hope you enjoy it.
http://bluefoxmedia.com/card/sample.htm

Donde [nombre] corresponde al nombre del destinatario tal como figura en la libreta de direcciones.

Este es un ejemplo de un mensaje creado por el gusano:

Para: luisc@dominio.com
Asunto: Luis - you should enjoy this funny greeting card.

Texto:
Luis,
This greeting card made my day I hope you enjoy it.
http://bluefoxmedia.com/card/sample.htm

El sitio Web indicado en el mensaje, modifica la página de inicio del Internet Explorer para conectarse a la siguiente dirección: http://www.rankmypix.com

Luego, el virus despliega una ventana con los botones [Yes] o [No], y le pregunta al usuario si desea instalar el programa 'Greeting Cards' en el sistema. Si el usuario pulsa en [Yes], entonces procede a descargar e instalar dicho programa.

Durante el proceso de instalación, se muestra un mensaje (disclaimer) avisando que el programa accederá a la libreta de direcciones de Microsoft Outlook para enviar los mensajes. La instalación continúa sólo si el usuario acepta las condiciones.

Este mensaje, puede llevar a confundir a muchos usuarios, debido a que existe un HOAX (ver VSA #129, Hoax: Una tarjeta virtual para Usted, http://www.vsantivirus.com/tarjeta.htm), que justamente advierte sobre la existencia de un virus altamente destructivo enviado por correo en una supuesta tarjeta de felicitaciones. Este gusano, no posee rutinas destructivas, salvo su capacidad de reproducirse.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Repare los archivos detectados como infectados

5. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 129 - 14/nov/00
Hoax: Una tarjeta virtual para Usted
http://www.vsantivirus.com/tarjeta.htm

VSantivirus No. 300 - 4/may/01
VBS/vbswg2.C. Una tarjeta virtual que no es un HOAX
http://www.vsantivirus.com/vbswg2-c.htm


Modificaciones:
14/jul/02 - Alias: W32.Wabbin, W32/Wabbin, W32/Wabbin@mm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com