Asunto: Here you have, ;o)
Texto: Hi [nombre del usuario].Check This!
Datos adjuntos: Monica-Bellucci.jpg.vbs

Cuando el usuario abre con un doble clic el adjunto, se ejecuta el script y se crean los siguientes archivos en el directorio de Windows (ambos con el código del virus):

C:\Windows\Monica-Bellucci.jpg.vbs
C:\Windows\run32dll.vbs

También crea en el registro un contador de infecciones, mediante la siguiente clave:

HKLM\SOFTWARE\TaskManager

Cuando el contador llega a 8, el gusano se envía por correo electrónico a todos los contactos de la libreta de direcciones del Outlook.

Cuando el contador llega a 10, el virus borra todos los archivos .EXE en la carpeta de Windows y muestra una ventana con este mensaje:

Nik Says HI! ;) to Johana

I LoVe JohaNa From PoRtuGal,CherNoByl virus
Hit Her But She Still loVes Nelly Fourtado..I salute
Her+QPWAEDRETLY!+MIGEL->Spain,Athens

[    Aceptar    ]

Para ejecutarse en cada reinicio de Windows, crea la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrenVersion\Run
(Predeterminado) = C:\Windows\run32dll.vbs

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos "run32dll.vbs" y "Monica-Bellucci.jpg.vbs" (generalmente en C:\Windows), que aparezcan en su sistema.

4. Borre todo mensaje con un adjunto "Monica-Bellucci.jpg.vbs" (o "Monica-Bellucci.jpg")

5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

(Predeterminado)         C:\Windows\run32dll.vbs

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\TaskManager

9. Pinche en la carpeta "TaskManager" y pulse en SUPR o DEL para borrar la carpeta.

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Nota: Si el gusano borra todos los archivos .EXE de la carpeta de Windows, se deberá reinstalar el sistema operativo, iniciando en modo solo símbolo del sistema, o desde un disquete de inicio cómo se explica aquí:

VSantivirus No. 651 - 19/abr/02
Cómo crear y usar un disquete de Inicio
http://www.vsantivirus.com/faq-disquete.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com