Asunto: [Nombre del ejecutable (varios)]

Texto:
Mensaje importante para [nombre del destinatario]
en el archivo adjunto...

Adjuntos: [varios, infectados por el gusano]

Si el usuario abre el adjunto, se infecta. En ese momento, se mostrará una ventana conteniendo un escudo con un águila.

El virus se copiará a si mismo en el directorio SYSTEM de WINDOWS, como THWIN.EXE y MSWORD.EXE.

C:\Windows\System\THWIN.EXE
C:\Windows\System\MSWORD.EXE

El registro de Windows es modificado, para permitir la carga del virus en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
THWIN=C:\WINDOWS\SYSTEM\THWIN.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
THWIN=C:\WINDOWS\SYSTEM\THWIN.EXE

El virus borra 5 archivos en el directorio y subdirectorios de Windows, seleccionados de aquellos con las siguientes extensiones:

BAK 
BMP 
CDX 
CHM 
DBF 
DOC 
DWG 
GIF 
HLP 
HTM 
ICO 
JPG 
MDB 
MID 
MP3 
SCR 
TTF 
WAV 
XLS

En forma periódica, el virus guarda una copia de si mismo en el raíz de la unidad A:\, siempre que haya disquete insertado, seleccionando el nombre de un archivo ya existente en el drive.

Por ejemplo, si existe un archivo llamado "ejemplo.dll", el virus se copiaría como "ejemplo.dll.EXE", y los atributos del "ejemplo.dll" original son puestos como ocultos (+H).

Otra copia también es grabada como A:\UNSCH.doc.EXE.

El virus intentará sobrescribir el archivo AUTOEXEC.BAT (Windows 95, 98, y Me), con instrucciones que formatearían la unidad C:, pero esto falla por un error en el código.

Toda la acción llevada a cabo por el gusano es grabada en dos archivos en el directorio SYSTEM de Windows:

C:\Windows\System\ListWin.txt
C:\Windows\System\WinList.txt

ListWin.txt es un registro de los últimos cinco archivos borrados por el virus.
WinList.txt es el nombre de los archivos usados para copiarse a la disquetera.

Cómo borrar manualmente el virus

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee "THWIN.EXE,  MSWORD.EXE" (sin las comillas) y pulse ENTER

3. Borre THWIN.EXE y MSWORD.EXE si aparece (solo los que aparezcan en C:\Windows\System)

4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

6. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada "THWIN" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

8. Pinche sobre la carpeta "RunServices". En el panel de la derecha pinche sobre la entrada "THWIN" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com