Utiliza el Outlook para enviarse a si mismo a todos los contactos de la libreta de direcciones y del MSN Messenger.

El mensaje que utiliza para propagarse, tiene estas características:

Asunto: sexxy Screen Saver
Texto del mensaje:
hi
look to the screen saver it's very funny
bye
Datos adjuntos: USA.scr (22,528 bytes)

El adjunto tiene el icono de una estrella.

Un mensaje adicional también es enviado por el gusano, pero a una dirección de correo predeterminada en su código:

Para: zary2000@email.com
Asunto: funny Screen Saver
Texto del mensaje:
hi all, look to the 3D screen saver it's very funny bye 
Datos adjuntos: sh.scr (22,528 bytes)

Copias del gusano son liberadas en las siguientes ubicaciones y con los siguientes nombres:

C:\Windows\System\sh.scr
C:\Windows\System\USA.scr

El registro es modificado para que una copia del gusano se ejecute en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
scr = C:\WINDOWS\SYSTEM\sh.scr

El gusano posee una destructiva rutina que borra todos los archivos de la unidad de disco C:, siempre que sea ejecutado desde el archivo C:\Windows\System\USA.scr.

Previamente, se envía en forma masiva a todos los contactos de la libreta de direcciones de Windows, y del MSN Messenger.

Cómo eliminar manualmente el gusano

Para borrar manualmente el gusano, siga estos pasos:

1. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con lo siguiente: "scr" y "C:\WINDOWS\SYSTEM\sh.scr", y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Borre los mensajes recibidos con las condiciones mencionadas (Asunto: "sexxy Screen Saver", datos adjuntos: "USA.scr")

7. Ejecute uno o más antivirus actualizados para revisar su sistema.

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

VSantivirus No. 609 - 8/mar/02
W32/MyLife. En el primer reinicio borra archivos críticos
http://www.vsantivirus.com/mylife.htm

VSantivirus No. 623 - 22/mar/02
W32/MyLife.B. Asunto: BILL CARICATURE, adjunto: CARI.SCR
http://www.vsantivirus.com/mylife-b.htm

VSantivirus No. 633 - 1/abr/02
W32/MyLife.C Asunto: THE LIST, se propaga y borra todo
http://www.vsantivirus.com/mylife-c.htm

VSantivirus No. 634 - 2/abr/02
W32/MyLife.D. Asunto NEW SCREEN SAVER, adjunto SCREEN.SCR
http://www.vsantivirus.com/mylife-d.htm

VSantivirus No. 635 - 3/abr/02
W32/MyLife.E. Asunto SEXXXYYY SCREEN SAVER, SCREEN.SCR
http://www.vsantivirus.com/mylife-e.htm

VSantivirus No. 635 - 3/abr/02
W32/MyLife.F. SEXXXYYY SCREEN SAVER, LIST480.TXT.SCR
http://www.vsantivirus.com/mylife-f.htm

VSantivirus No. 643 - 11/abr/02
W32/MyLife.G. Muestra caricatura de Sharon como protesta
http://www.vsantivirus.com/mylife-g.htm

VSantivirus No. 643 - 11/abr/02
W32/MyLife.H. La versión no destructiva del MyLife
http://www.vsantivirus.com/mylife-h.htm

VSantivirus No. 644 - 12/abr/02
W32/MyLife.J. Borra todos los archivos de la unidad C
http://www.vsantivirus.com/mylife-j.htm

VSantivirus No. 644 - 12/abr/02
W32/MyLife.I. Sobrescribe archivos con espacios
http://www.vsantivirus.com/mylife-i.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com