Asunto: Hello

Texto del mensaje:
Hi 

I just had to send you this. 
Our email server won't let me email programs so I've
renamed it. Save it to disk, changing the .app at the
end to .exe, then you can run it.
I don't normally go round forwarding this kind of thing,
but this is really, really funny!
Take care.

Datos adjuntos: Angel.app

Al ejecutar el usuario este adjunto, el gusano se activa, comprobando primero la existencia del archivo C:\BOOTMGR.SYS. En caso de no existir, lo crea con un tamaño de tan solo 1 byte. Esta acción ocasiona que la computadora se reinicie todas las veces que se intente reiniciar (si no hay intervención humana, el proceso es continuo).

También intenta copiarse a las siguientes carpetas compartidas:

  c$\windows\startup\oldnews.exe
  c$\WINNT\Profiles\All Users\Start Menu\Programs\Startup\oldnews.exe
  c$\Documents and Settings\All Users\Start Menu\Programs\Startup\oldnews.exe

OLDNEWS.EXE es el código del virus de 151,040 bytes (ANGEL.APP renombrado).

La primera carpeta (windows\startup\) es errónea, pero en todos los casos, el funcionamiento de esta acción del gusano, solo será factible en un Windows en idioma inglés.

Tampoco funcionará su intento de reenviarse a través del Outlook, por lo que en las versiones en español de Windows, la única acción del gusano será la de provocar el reinicio continuo en aquella máquina en que se ejecute manualmente.

La única manera de recuperar un sistema infectado por este gusano, es iniciar el mismo desde un disquete de inicio limpio (creado en otro PC, o previamente guardado como respaldo), y borrar el archivo C:\BOOTMGR.SYS.

Luego ejecute un antivirus actualizado para escanear todo su sistema.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com