c:\MyV_DIR\MyV.log

Este archivo almacena información creada por el propio gusano al ejecutarse.

Luego crea el siguiente archivo:

c:\windows\system\SysInfoMyV.txt

El mismo contiene información del sistema infectado, recolectada por el gusano.

NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003.

El gusano examina la fecha indicada por el sistema. Si la misma es posterior a setiembre de 2003, el gusano abandona la ejecución.

Se copia en la siguiente carpeta (si no ha sido copiado antes):

C:\MyV_DIR\MyV.exe

Intenta modificar el registro para autoejecutarse en cada reinicio, pero falla por un error en su código.

Se conecta a un servidor remoto, para buscar nuevas versiones de si mismo.

Examina el sistema infectado en busca de archivos con extensiones .DOC y .PWL, además de contraseñas almacenadas en el caché de Windows, y también direcciones electrónicas, todo lo cuál es almacenado en C:\MYV_DIR\MYV.LOG.

Esta información es subida luego a un servidor FTP remoto, controlado por el autor del gusano.

Para enviarse a todas las direcciones encontradas, el gusano utiliza las funciones MAPI.

MAPI (Messaging Application Programming Interface), es una interface de programación para aplicaciones que gestionan correo electrónico, servicios de mensajería, trabajos en grupo, etc.

Los mensajes enviados pueden tener algunos de los siguientes adjuntos (la segunda extensión queda oculta en una instalación por defecto de Windows, ver en las referencias "Mostrar las extensiones verdaderas de los archivos"):

Acidente VLS.doc
ChargeCTA.exe
CongressoVLS.ppt
Eletrico-VLS.doc
Fotos VLS.exe
FotosBoas.exe
Propelente.exe
Sabotagem VLS.doc

Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\myv_dir\myv.log
c:\myv_dir\myv.exe
c:\windows\system\sysinfomyv.txt

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com