Thanks for helping me!

The police are investigating the robbery

an application for a job

The aspects of an application process pertinent to OSI

What a pleasant weather. Why not go out for a walk?

These countries have gone / been through too many wars

We've fixed on the 17th of April for the wedding

The wind failed and the sea returned to calmness.

the sitting is open!

El archivo adjunto al mensaje será README.HTML

Si el usuario abre este adjunto, el virus ejecutará su código, el cuál generará varias copias de sí mismo, con nombres seleccionados al azar en las carpetas de Windows y del Sistema (por defecto C:\WINDOWS y C:\WINDOWS\SYSTEM):

C:\Windows\PROFILE.VBS
C:\Windows\System\MDM.VBS
C:\Windows\System\USER.DLL
C:\Windows\System\README.HTML
C:\Windows\System\SYSTEM.DLL

Luego, examina si el nombre del usuario de la computadora infectada contiene alguno de estos textos:

white home
central intelligence agency
bush
american stock exchang
chief executive
usa

Si alguno coincide, entonces el gusano modificará el archivo C:\AUTOEXEC.BAT (en Windows 95 y 98), agregando la siguiente línea, que borrará todos los archivos y carpetas de la unidad C en el próximo reinicio de Windows:

DELTREE C:\

Para que se cumpla esta orden, el usuario deberá contestar afirmativamente la siguiente pregunta por cada directorio a borrar:

¿Desea eliminar el directorio "C:xxx" y todos sus subdirectorios? [sn]

Su rutina de propagación, envía el mensaje con las características antes mencionadas, a todos los contactos de la libreta de direcciones del Outlook, además de hacerlo a las siguientes direcciones:

president@whitehouse.gov
vice.president@whitehouse.gov
first.lady@whitehouse.gov
mrs.cheney@whitehouse.gov

Si además el día actual es 5 de julio, el gusano creará este archivo:

C:\Windows\System\75.HTM

Por otra parte, todos los archivos con extensión .HTM y .HTML serán sobrescritos con el propio código del virus.

También modificará las siguientes entradas en el registro, para poder ejecutarse en los próximos reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Mdm = c:\windows\system\Mdm.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Profice = c:\windows\system\Profile.vbs

Para eliminarlo de un sistema infectado, ejecute un antivirus al día, borre los archivos identificados como infectados, y elimine las entradas MDM y PROFICE del registro de Windows.

Para ello siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha, busque y borre la siguiente clave:

Mdm        "c:\windows\system\Mdm.vbs"

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
RunServices

5. Pinche sobre la carpeta "RUN". En el panel de la derecha, busque y borre la siguiente clave:

Profice        "c:\windows\system\Profile.vbs"

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Los archivos .HTM y .HTML sobrescritos por el virus, deberán ser recuperados desde un respaldo, o reinstalados.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Fuente: Panda Software
(c) Video Soft - http://www.videosoft.net.uy