Asunto: Secret for you...

Texto:
Hi Friend,
I send you my last work.
Mail me if you have some suggests.
See you soon. Best Regards. 

Adjunto: My_Work.exe

Para activarse, se requiere que el usuario abra el adjunto (doble clic).

Si esto ocurre el gusano despliega un mensaje de error falso:

Error - MY_WORK.EXE
File - MY_WORK.EXE - damaged,
Cannot open this file
[   OK   ]

Mientras muestra el mensaje se copia en el directorio SYSTEM de Windows (C:\Windows\System por defecto):

C:\Windows\System\MSGDI32.EXE

Luego, modifica el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft GDI 32 bits = C:\Windows\System\MSGDI32.EXE

Mientras se instala, Stopin busca y finaliza las siguientes aplicaciones, si estuvieran activas, las cuáles corresponden a conocidos antivirus y otras herramientas de seguridad:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE

En el próximo reinicio de Windows, el gusano se activará por medio de la llamada en la clave "Run" del registro. Es entonces que activa su rutina de propagación vía e-mail.

Para enviar sus mensajes infectados, el gusano utiliza las funciones MAPI.

La lista de sus destinatarios, es seleccionada de las direcciones electrónicas presentes en los archivos con estas extensiones:

*.HTM
*.HT*
*.DOC

El gusano recoge las mismas revisando todas las posibles ubicaciones de estos archivos, en todos los discos duros de la máquina infectada.

El día 7 de cualquier mes, el gusano muestra el siguiente mensaje:

Message to USA
It is not with a B-52 that you will stop terrorist groups.
With this, you stop the life of women and children.
[   OK   ] 

El día 11 de cualquier mes, despliega el siguiente texto:

Can we try to stop the conflicts ? YES OF COURSE !'

Si el día es 28, Stopin crea un archivo llamado "StopIntifada.htm", escribiendo el siguiente texto en él, y luego abre el HTML en el explorador:

Stop Violence between Palestinians and Israeli
HOW TO STOP THE VIOLENCE 

-THE ISRAELIS:
To take the israelis tank out of the palestinians autonomous city.
Don't bomb civil place after a terrorist bomb attack.
To arrest and to kill the leaders of terrorist groups. 

-THE PALESTINIANS:
To stop to provoke the israelis army.
To stop the terrorist attacks. 

-THE BOTH:
To try to accept the other people.
TO ORGANIZE A MEETING BETWEEN ARIEL SHARON AND YASSER ARAFAT !

Thanx to read this.

Cómo borrar manualmente el virus

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee MSGDI32.EXE y pulse ENTER

3. Borre MSGDI32.EXE si aparece

4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

6. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada "Microsoft GDI 32 bits = C:\Windows\System\MSGDI32.EXE" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com