Help.hta
Help.vbs
Help.htm
Instlog.htm

Luego, el gusano busca todos los archivos .HTM, .VBS, .ASP, .HTT en todas las carpetas de todos las unidades de disco locales, o mapeadas en red.

Por cada archivo encontrado, el gusano intenta localizar las cadenas tipo "mailto:<dirección de correo>", para capturar estas direcciones, y enviarles el siguiente mensaje infectado:

Asunto: Help
Archivo adjunto: Instlog.htm

El cuerpo del mensaje está siempre vacío.

Los archivos .HTM, .VBS, .ASP y .HTT encontrados, también serán infectados. El nombre de estos archivos se guarda en la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Help\FileName

También modifica el registro de Windows, agregando la siguiente clave:

HKEY_CURRENT_USER\Software\Help\Count

El valor "Count" es actualizado con la cantidad de archivos infectados.

Cuando esta cantidad llega a 366 infecciones, el script realiza una de estas dos acciones (A o B):

A. Busca en los mensajes presentes en la Bandeja de entrada del Outlook, y envía a todos ellos el siguiente mensaje con un adjunto infectado:

Asunto: Fw: [la dirección original del usuario infectado]
Archivo adjunto: Instlog.htm

El cuerpo del mensaje está también vacío.

B. Envía el siguiente mensaje a toda la lista de direcciones de la libreta del Outlook, también con el cuerpo del mensaje en blanco:

Asunto: Help
Archivo adjunto: Instlog.htm

El gusano modifica el papel tapiz por defecto del escritorio de Windows, para que sea mostrada una página infectada (HELP.HTM), en cada reinicio de Windows. Para ello cambia la siguiente clave del registro:

HKCU\Control Panel\desktop
wallPaper=C:\WINDOWS\Help.htm

Para esconder esta acción, el gusano intenta usar la misma imagen de fondo existente antes de la infección.

Esto funcionará siempre que el "Active Desktop" esté habilitado (en Windows 98, "Inicio", "Configuración", "Active Desktop", "Ver como página Web" tildado).

El gusano infectará también todos los archivos .HTT del subdirectorio C:\WINDOWS\WEB. Esto ocasionará que todas las vistas HTML de las carpetas del sistema (Mi PC, Panel de Control, Impresoras, etc.) que se abren con el Explorador de Windows, sean infectadas, siempre que la opción para ver una carpeta como página Web esté habilitada (menú "Ver", opción "Cómo una pagina Web").

El gusano cambia la configuración del formato de envío de correo por defecto a HTML (Herramientas, Opciones, Enviar, Configuración de formato de envío de correo), y coloca el archivo C:\Windows\Instlog.htm como la plantilla para los nuevos mensajes.

Para ello, modifica las siguientes claves del registro:

HKCU\Identities\[Identificador]\Software\Microsoft\Outlook Express\5.0\Mail\

Compose Use Stationery="1"
Message Send HTML="1"
Stationery Name="C:\Windows\Instlog.htm"

El [Identificador] es diferente para cada usuario, y es tomado por el virus de la siguiente clave del registro:

HKCU\Identities\Default User ID

Es importante hacer notar que si su programa de correo o servidor de correo Web no es capaz de manejar mensajes con formato, el código del mismo es convertido en un adjunto, el cuál al ser abierto, también propagará la infección.

El gusano posee una rutina maliciosa, que se cumple cada vez que la suma del día y el mes, dan como resultado 13. Entonces, el virus es capaz de borrar todos los archivos .EXE y .DLL de la computadora infectada.

Estas fechas son:

12 de enero
11 de febrero
10 de marzo
 9 de abril
 8 de mayo
 7 de junio
 6 de julio
 5 de agosto
 4 de setiembre
 3 de octubre
 2 de noviembre
 1 de diciembre

Como sacar el virus de un sistema infectado en forma automática

Vea: Utilidad para sacar el virus VBS/Haptime.A y B


Como sacar el virus de un sistema infectado en forma manual

1. Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

2. Borre los archivos .HTT de la carpeta C:\Windows\Web. Para ello, desde Inicio, Buscar, Archivos o carpetas, seleccione en "Buscar en:" lo siguiente:

C:\Windows\Web

3. En "Nombre", escriba *.HTT, luego borre cada uno de los archivos *.HTT que aparezcan en la carpeta C:\Windows\Web.

4. Vacíe la Papelera de reciclaje (botón derecho sobre ella, "Vaciar la papelera de reciclaje".

5. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Help

7. Pinche sobre la carpeta "Help" y luego borre las siguientes carpetas:

Count
FileName

8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Control Panel
desktop

9. Pinche sobre la carpeta "DESKTOP". En el panel de la derecha busque algo como:

wallPaper         "C:\WINDOWS\Help.htm"

10. Pinche dos veces sobre el nombre "wallPaper" y borre el contenido de "Información del valor" ("C:\WINDOWS\Help.htm"). Confirme los cambios. Debería quedar algo así:

wallPaper ""

11. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Identities
[Identificador Ej: {3BA26F68-D213-13E2-AA78-0040335886EE}]
Software
Microsoft
Outlook Express
5.0
Mail

12. Pinche sobre la carpeta "MAIL". En el panel de la derecha busque las siguientes claves:

Compose Use Stationery "1"
Message Send HTML "1"
Stationery Name="C:\Windows\Instlog.htm"

13. Pinche dos veces sobre cada uno de los nombres ("Compose Use Stationery", "Message Send HTML", "Stationery Name"), y modifique el contenido de "Información del valor" de modo que el resultado sea:

Compose Use Stationery "0"
Message Send HTML "0" 
Stationery Name ""

14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Tenga en cuenta que si el virus ha borrado los archivos .EXE y .DLL, el sistema no funcionará, y deberá reinstalar Windows.


Recomendaciones en la configuración del Outlook Express para no usar formato HTML.

Configure el Outlook Express para no enviar correo con formato HTML. Para ello, desde Herramientas, Opciones, en Enviar, desmarque "Responder a los mensajes en el formato en que se enviaron". En Configuración de formato de envío de correo, tilde "Texto sin formato", y en "Texto sin formato", marque las casillas "MIME" Codificar usando "Ninguna", y "Permitir caracteres de 8 bits en encabezados".

Para quitar el Panel de vista previa, vaya a "Ver", "Diseño" y desmarque "Mostrar panel de vista previa".

Vaya a Herramientas, Opciones, Seguridad y en "Zonas de seguridad", marque "Zona de sitios restringidos (más segura)".


Otras recomendaciones

En el Internet Explorer:

Vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.

Descargue si no lo ha hecho, el parche de Microsoft para corregir la vulnerabilidad de la que se aprovecha este virus (se ejecuta sin abrir ningún adjunto): http://www.microsoft.com/technet/ie/tools/scrpteye.asp

Usuarios de Windows Me

Para limpiar el sistema en Windows Me, deberá deshabilitar la herramienta "Restaurar sistema" como se indica a continuación, y luego correr un antivirus en "Modo a prueba de fallos", iniciando la PC con la tecla CTRL pulsada hasta que aparezca la pantalla para seleccionar esta opción.

Cómo deshabilitar la herramienta "Restaurar sistema" en Windows Me

1. Pulse con el botón derecho sobre el icono Mi PC del escritorio
2. Pinche en la lengüeta "Rendimiento"
3. Pinche sobre el botón "Sistema de archivos" en "Configuración avanzada"
4. Seleccione la lengüeta "Solución de problemas"
5. Marque la casilla "Deshabilitar Restaurar sistema"
6. Pinche en el botón "Aplicar"
7. Pinche en el botón "Cerrar" de Propiedades de Sistema de archivos
8. Pinche en el botón "Cerrar" de Propiedades de Sistema
9. Cuando se le pregunte si desea reiniciar el sistema conteste que SI

De este modo la utilidad "Restaurar sistema" quedará deshabilitada

Luego reinicie la computadora en "Modo a prueba de fallos" (pulse F8 o mantenga CTRL pulsada al reiniciar la computadora), y ejecute un antivirus al día para borrar los archivos infectados.

Para volver a habilitar la herramienta "Restaurar sistema", reitere los pasos anteriores, desmarcando la casilla "Deshabilitar Restaurar sistema" en el punto 5.


Sobre el registro de Windows

Se recomienda realizar una copia del registro cada vez que se pretenda modificarlo. Cambios incorrectos o errores, pueden ocasionar el bloqueo o imposibilidad de reiniciar Windows. Para ello, al entrar en REGEDIT, marque "Mi PC" en la ventana de la izquierda, y seleccione el menú "Registro", "Exportar archivo del registro". Guarde el archivo generado.

Para recuperar el registro, si puede ingresar a Windows, ejecute REGEDIT, seleccione "Registro", "Importar archivo del registro" y seleccione el archivo guardado antes.

Para restaurar el Registro desde MS-DOS.

1. Haga clic en Inicio y después haga clic en Apagar el sistema.

2. Haga clic en Reiniciar en modo MS-DOS y después en Aceptar (o pulse CTRL o F8 al reiniciar la computadora para entrar en el menú de inicio y seleccionar "Sólo símbolo del Sistema").

3. Escriba en la línea de comandos lo siguiente:

scanreg   /restore

4. Seleccione una versión del registro anterior a la actual, y reinicie su equipo.


Glosario: 

(1) MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.


Ver también:

VSantivirus No. 298 - 2/may/01
VBS/Haptime (Happytime) El peligro del correo con formato HTML

VSantivirus No. 101 - 23/mar/00
VBS/Kakworm-A. Se propaga sin necesidad de adjuntos

VSantivirus No. 157 - 12/dic/00
VBS/Kakworm-E. Infecta con solo verlo en vista previa


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy