Asunto: bill caricature

Texto:

Hiiiii
How are youuuuuuuu?
look to bill caricature it's vvvery verrrry ffffunny :-) :-)
i promise you will love it? ok
buy

========No Viruse Found========
          MCAFEE.COM
--------------------------------------------------------

Datos adjuntos: cari.scr

Si el usuario hace doble clic sobre lo que dice ser "una divertida caricatura de Bill (Clinton)", el gusano muestra una imagen en una ventana con el título "Caricature", con un "Bill" tocando el saxofón y cierta prenda femenina asomando en él.

Mientras eso ocurre, el gusano se copia a si mismo al directorio System de Windows con el mismo nombre del adjunto: "cari.scr":

C:\WINDOWS\System\cari.scr

Luego, agrega lo siguiente al registro de Windows, para autoejecutarse en próximos reinicios:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win = C:\WINDOWS\System\cari.scr

Sin embargo, al reiniciarse la máquina, el gusano no se vuelve a propagar ni tampoco se visualiza la imagen que ya vimos. El gusano debería borrar aquí, los siguientes archivos:

c:\*.*
*.sys
*.vxd
*.ocx
*.nls
d:\*.*
e:\*.*
f:\*.*

Como ocurría con el MyLife, la rutina de destrucción (el borrado de los archivos mencionados), falla en las pruebas hechas en el laboratorio.

El gusano se propaga en forma muy similar al W32/MyLife, utilizando el Microsoft Outlook para enviarse a si mismo a cada entrada de la libreta de direcciones.

Cómo borrar manualmente el gusano

Para borrar manualmente el gusano, siga estos pasos:

1. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con lo siguiente: "win" y "C:\WINDOWS\System\cari.scr" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Borre los mensajes recibidos con las condiciones mencionadas (Asunto: bill caricature, Adjunto: cari.scr)

7. Ejecute uno o más antivirus actualizados para revisar su sistema.

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

VSantivirus No. 609 - 8/mar/02
W32/MyLife. En el primer reinicio borra archivos críticos
http://www.vsantivirus.com/mylife.htm

VSantivirus No. 623 - 22/mar/02
W32/MyLife.B. Asunto: BILL CARICATURE, adjunto: CARI.SCR
http://www.vsantivirus.com/mylife-b.htm

VSantivirus No. 633 - 1/abr/02
W32/MyLife.C Asunto: THE LIST, se propaga y borra todo
http://www.vsantivirus.com/mylife-c.htm

VSantivirus No. 634 - 2/abr/02
W32/MyLife.D. Asunto NEW SCREEN SAVER, adjunto SCREEN.SCR
http://www.vsantivirus.com/mylife-d.htm

VSantivirus No. 635 - 3/abr/02
W32/MyLife.E. Asunto SEXXXYYY SCREEN SAVER, SCREEN.SCR
http://www.vsantivirus.com/mylife-e.htm

VSantivirus No. 635 - 3/abr/02
W32/MyLife.F. SEXXXYYY SCREEN SAVER, LIST480.TXT.SCR
http://www.vsantivirus.com/mylife-f.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com