C:\Windows\Rdvs.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME y C:\WINNT en Windows NT/2000/XP).

Luego, se conecta a Internet para descargar y ejecutar un archivo que habilita el acceso a un servidor pornográfico.

También intenta conectarse a direcciones IP al azar y examina recursos compartidos en busca de la carpeta de Windows en cada computadora remota.

Cuando localiza esta carpeta, examina el lenguaje usado por Windows, para ubicar el nombre de la carpeta de inicio y copiarse en ella.

En español, la carpeta localizada es la siguiente:

C:\WINDOWS\Menú Inicio\Programas\Inicio

Allí se copia de modo que cuando dicha computadora se reinicie, el gusano se ejecute automáticamente, creando la siguiente entrada en el registro de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
fn = C:\Windows\Rdvs.exe

En próximos reinicios, el ciclo vuelve a reiterarse.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

fn

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
27/jul/02 - Alias: Win32.Ultimax.A, Backdoor/Rdvs
27/jul/02 - Alias: W32/Ultimax.Worm, Win32.Ultimax.B
27/jul/02 - Alias: Win32.RDVS.Trojan, W32/Ultimax
27/jul/02 - Alias: Win32.Ultimax.C
23/oct/02 - Modificaciones en la descripción



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com