HKEY_LOCAL_MACHINE\Alcopaul

El gusano también crea la siguiente clave para que el desencriptador se ejecute cada vez que el usuario abra un script en el sistema infectado:

HKEY_CLASSES_ROOT\scrfile\shell\open\command
(Predeterminado) = "wscript.exe c:\excel.vbs"

Después de ello, envía un mensaje como el que se detalla a continuación con el propio gusano como adjunto, a cada contacto de la libreta de direcciones. Cómo técnica para engañar al usuario infectado, el mensaje presenta una afirmación que solo sirve de señuelo (que el adjunto carece de rutinas maliciosas):

Para: [dirección del usuario]
Asunto: Free Access To Thousands Of MP3

Texto del mensaje:

-------------- Trend Micro Online Scanner ------------------
The attached file doesn't contain any malicious routines 
--------------------------------------------------------------------------

Datos adjuntos: freemp3s.vbs

El mensaje, supuestamente del antivirus de Trend Micro, es falso.

Todos los mensajes enviados son borrados de la carpeta de "Elementos enviados" del Outlook. Después, copia el script decodificador en el directorio raíz (C:\).

Luego de ello, borra su código de la máquina infectada, ejecutándose el virus a través del código encriptado en el registro. El gusano requiere tener instalado el Windows Scripting Host para funcionar.

Cómo borrar manualmente el virus

Para borrar manualmente el gusano, siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee EXCEL.VBS y pulse ENTER

3. Borre EXCEL.VBS si aparece

4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Alcopaul

6. Pinche sobre la carpeta "Alcopaul", y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrarla.

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

KEY_CLASSES_ROOT
\scrfile
\shell
\open
\command

8. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = "wscript.exe c:\excel.vbs"

9. Pinche sobre (Predeterminado) para editar el valor, y en Información del valor borre lo anterior ("wscript.exe c:\excel.vbs") y escriba lo siguiente (comillas, por ciento, número uno, comillas, espacio, barra inclinada, letra ESE):

"%1" /S

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

11. Ejecute uno o más antivirus actualizados hoy mismo de Internet.

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com