Texto del mensaje:

Tal como te prometí; 
te envío mi foto en el archivo adjunto....

Datos adjuntos: CERTIFICATE.PDF.EXE

El archivo adjunto posee doble extensión (PDF.exe), siendo su icono el de un archivo de imágenes (.GIF), lo que ayuda a confundirlo con una fotografía.

Si el usuario abre el adjunto, se muestra una imagen pornográfica, al mismo tiempo que el virus comienza a realizar las siguientes acciones:

1. Genera los siguientes tres archivos en la computadora infectada:

Certificate.PDF.exe
C:\Windows\System\msoffice.exe
C:\Windows\System\thd16.exe

2. Cada vez que se ejecute THD16.EXE, su acción borrará 5 archivos con extensiones seleccionadas al azar entre la siguiente lista:

*.SCR
*.TTF
*.XLS
*.DOC
*.DWG
*.MP3
*.CDX
*.BMP
*.HTM
*.HLP
*.CHM
*.JPG
*.CDR
*.MDB
*.DBF
*.ICO
*.BAK
*.GIF

4. También se modifica el archivo C:\Autoexec.bat que se ejecuta al iniciarse la computadora, con la instrucción necesaria para proceder al formateo incondicional de la unidad de disco duro C:, en el próximo reinicio de Windows.

5. Crea en el registro, la entrada necesaria para ejecutar el archivo THD16 en cada reinicio (acción redundante si se produce el formateo del duro por una acción anterior):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
THD16 = C:\Windows\System\thd16.exe

Para eliminar en forma manual el gusano

1. Primero, actualice sus antivirus y ejecute un escaneo de todas sus carpetas y archivos. Borre los archivos detectados como infectados por el gusano.

2. Borre el mensaje infectado recibido de su bandeja de entrada y luego también de la bandeja de elementos eliminados (en el Outlook, Edición, Vaciar la carpeta de elementos eliminados).

3. Compacte las carpetas del Outlook (Archivo, Carpeta, Compactar todas las carpetas).

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

THD16       C:\Windows\System\thd16.exe

7. Examine el archivo AUTOEXEC.BAT

7.a. Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

7.b. Usuarios de Windows 95, 98 y Me:

7.b.1. Pulse el botón Inicio y luego Ejecutar

7.b.2. Escriba lo siguiente y pulse OK.

edit  c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

7.b.3. Borre la línea que contenga un comando "FORMAT" si ésta existiera

7.b.4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Modificado 9/abr/02

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com