HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Juego = C:\Windows\Juego.exe

El troyano crea también dos archivos de datos: STDOLE.DLL y STPRINT.OCL, los que copia en la carpeta Windows. STDOLE.DLL mantiene el camino al archivo de Windows, Winword.exe, mientras que STPRINT.OCL es un contador. Este contador aumenta cada 5 minutos, cuando la hora actual tiene '0' o '5' como último dígito (12.10, 12.15, 12.20, etc.).

Cada vez que el contador aumenta (o sea cada 5 minutos, el troyano busca un disquete en la unidad A: y dentro de éste, archivos con extensión .DOC. Si los encuentra, el troyano hace una copia de si mismo con el nombre del documento, pero con extensión .EXE. El archivo .DOC original es marcado con los atributos de oculto (+H)

Por ejemplo, si existe un documento CARTA.DOC, el troyano le cambia los atributos y luego se copia a si mismo con el nombre de CARTA.EXE.

En la copia se mantiene el icono de un documento, por lo que el usuario fácilmente puede hacer doble clic sobre él pensando que realmente es un .DOC, cuando en realidad estaría activando al troyano.

Es importante mostrar las extensiones verdaderas de los archivos para no caer en esa trampa.

Cuando el contador llega a 276, el troyano procede a sobrescribir todos los archivos del sistema con el siguiente contenido (solo texto):

"Virus LourdesHRA atacó esta computadora, Feliz 2003
y Disculpen las molestias que este ocaciona"
"Maldito Xp pero me vengaré, desastre al 100% menos Xp"

El ejecutable del troyano contiene la siguiente descripción, que no es mostrada en condiciones normales:

Es para felicitar a todos los infectados aunque no creo
que les guste. LHRA corporation se deslinda del mal uso
que se le de a este programa y lo que pueda hacer, no se
hace responsable de este, ni por los deztrozos ca.

Copiright 2003 felitz Año Nwebo k' Prodrama tien portento
Metzikno putos, ah y tambien feliz navidad

Reparación manual

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com