Fwd: WoOoOoOow
Fwd:Wow , We are the same !
Fwd: [Muzicana-Group] Download what you want
Zakia Zakaria & Najati :P
Fwd:The demand of sex ... where does it lead us to ?
Take a picture for your self (Don't be mad its only a joke)
Fwd:Is there any true love ?
Fwd:Have u ever seen your face?! (Funny)
Fwd:Against the power of women
Fwd:Fwd:If you care about your wife
Fwd:Say 'I Love You' in 300 languages
Fwd:Send it to every body you love ;)
Re:Fwd:Romantic Day
Fwd: Let's Dance & forget pains
Fwd:Loneliness ...
Fwd: [sex-is] HoT MoVies
Fwd: [SpanishGirlsGroup] Hola ...
Fwd: [LsbianLovers-group] Lick my asshole
Fwd:[Anal-sex-team] OOOH Faster
Fwd: [PussyLand-egroup] How sweet...
Fwd: [DrFun-egroup] Let's Laugh
Fwd: [FuNnY-egroup]Hehehehehe damn
Fwd: [SexyGurls-egroup] Raping a little girl
Fwd: [Scr-News-egroup] Have u ever seen BLOOD
Fwd: [Yabdoo-egroup]For HaCkers Lovers
Fwd: [Jews-egroup] Sharoon Owns The World
Fwd: [FunMaiL-group]Bush under bin laden's cock !!!
Fwd: [Teen-egroup] Three Ways For Love
Fwd: [RomanticLife-group] Learn How To Love ...
Fwd: [Gays-egroup]Oh Shittttt
Fwd:Remember our survivors
Fwd: [JewsFood-egroup] Dogs Meat !!!
Fwd: [PianoMoZart-egroup] Wow Romantic
Fwd:Tonight is... The Night Of Sex
Fwd: Are you looking for FUN !!!?
Fwd: [PussyPiss-egroup] Piss On my face :O
Fwd: [Finance-group] Do you wanna be a rich man?
Fwd:
Fwd: [lovedreams-egroup] love speaks from the heart ...
Fwd:Change your life with Dr.Jobreee
Fwd: [TeroNews-Group] Too Late ... Bin Laden has been killed
Fwd: [Pc.CLup-Group] Learn how to deal with DOS
Fwd:[RapingTeen-eGroup] Oh My God !!!
Fwd: The rights of women !!! 

El mensaje no suele contener texto alguno, y el nombre de los datos adjuntos suele ser PROGRAM.EXE, un archivo .PIF de nombre variable (que puede ser en ocasiones el nombre de la máquina infectada), o ninguno.

Si el usuario abre el adjunto, infecta su computadora, y una de las primeras consecuencias visibles será la aparición de una ventana de mensajes con fondo negro, y el siguiente texto en letras rojas: 

Luego, el gusano se copia a si mismo en diferentes ubicaciones y con los siguientes nombres de archivos:

WINDOWS\SYSTEM\ZaCker.pif
WINDOWS\ZaCker.pif
WINDOWS\Hide.pif

En forma adicional también inserta una copia de si mismo en cada directorio y subdirectorio del disco duro, con el mismo nombre del directorio.

Por ejemplo, en C:\Windows creará una copia de él con el nombre Windows.PIF.

Para no enviarse mensajes a si mismo, el gusano controla las direcciones de correo del usuario infectado, examinando las siguientes ramas del registro:

HKUsers\.DEFAULT\Software\Microsoft\
Internet Account Manager\Accounts\00000001\
"SMTP Email Address" = [dirección del usuario infectado]

HKUsers\.DEFAULT\Software\Microsoft\Office\Outlook\
OMI Account Manager\Accounts\00000001\
"SMTP Email Address" = [dirección del usuario infectado]

También agrega los siguientes valores al registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NAV DefAlert = C:\Windows\ZaCker.pif

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Norton Auto-Protect = C:\Windows\Hide.pif

Y crea además estas entradas, posiblemente usadas solo como indicadores de infección:

HKEY_LOCAL_MACHINE\Shadup
(Predeterminado) = esket

HKEY_LOCAL_MACHINE\e5zemha
(Predeterminado) = Wesket

También agrega en el registro una clave por cada archivo .PIF creado por él en el sistema, en la rama correspondiente a la autoejecución en el inicio (note que esta técnica de infección puede ocasionar el bloqueo del sistema, debido a la cantidad de aplicaciones ejecutándose al mismo tiempo en memoria, al iniciarse Windows):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cinco minutos después de estas modificaciones (o de cargarse el virus en memoria), el mismo despliega a ventana completa, con fondo negro y letras rojas gigantescas, el siguiente texto:

Luego se envía en forma masiva vía Internet.

W32/Maldal.I coloca en el directorio temporal de Windows, varios archivos.

Cómo borrar manualmente el virus

1. Ejecute uno o dos antivirus actualizados, y borre todos los archivos que aparezcan infectados como "Maldal" o "Zacker", en cualquiera de sus variantes

2. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

6. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre CADA UNA de las entradas que hagan referencia a archivos con extensión .PIF, y pulse la tecla SUPR o DEL, contestando afirmativamente la pregunta de si desea borrar cada clave.

Ej:

NAV DefAlert = C:\Windows\ZaCker.pif
Norton Auto-Protect = C:\Windows\Hide.pif
[...]
Windows = C:\Windows\Windows.pif
Mis Documentos = C:\Mis Documentos\Mis Documentos.pif

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Ejecute nuevamente un antivirus al día.


Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 541 - 31/dic/01
W32/Maldal.D. Muy destructivo (descripción actualizada)
http://www.vsantivirus.com/maldal-d.htm

VSantivirus No. 521 - 11/dic/01
W32/Zacker. Se envía masivamente y crea muchas copias 
http://www.vsantivirus.com/zacker.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com