regedit.exe
msconfig.exe

Luego, se copia en la siguiente ubicación:

C:\Windows\Guindows\GEDZAC.EXE

Note que crea una carpeta con el nombre usado por muchos detractores de Windows (Guindows), dentro de la carpeta Windows.

El gusano también crea el siguiente archivo:

C:\Windows\Torres_gemelas.txt (652 bytes)

Este archivo de texto contiene el siguiente mensaje (el cuál incluye, además de claros errores de ortografía, errores como la fecha de la destrucción de las torres gemelas, que ocurrió el 11 de setiembre de 2001, no 2002 como allí se menciona):

-----------------------------------------------------------     A UN AÑO DEL WORLD TRADE CENTER Los eventos sucedidos el 11 de Septiembre de 2002 conmocionaron a todo el mundo. Era impredecible pensar que la gran potencia mundial, fuera sorprendida con este acto terrorista que deja claro que no son los mas queridos. Todos estamos a merced de estos terribles atentados. A un año despues...  ¿qué es lo que sigue?... ¿El World Trade Center de la ciudad de Mexico?     ¿Seguro que tu puedes dormir tranquilo? -----------------------------------------------------------

También crea múltiples copias de si mismo en las siguientes carpetas, pertenecientes a conocidos programas P2P:

c:\Program Files\Grokster\My Grokster 
c:\ARCHIV~1\Grokster\My Grokster\ 
c:\Program Files\Morpheus\My Shared Folder\ 
c:\archiv~1\Morpheus\My Shared Folder\ 
c:\Program Files\ICQ\shared files 
c:\archiv~1\ICQ\shared files\ 
c:\Program Files\KaZaA\My Shared Folder\ 
c:\ARCHIV~1\KaZaA\My Shared Folder\ 

El nombre del archivo contiene alguna de las siguientes extensiones (es el propio gusano renombrado):

.bat
.com
.exe
.pif
.scr

Periódicamente, intenta copiarse a algún disquete insertado en la disquetera, con el siguiente nombre de archivo:

a:\Atentados Terroristas

También se modifica el registro para que en cada reinicio del sistema, el gusano se cargue en memoria:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
GEDZAC = C:\Windows\Guindows\GEDZAC.EXE

Además, se crea la siguiente entrada que cambia la pantalla de aviso del MSN Messenger:

HKLM\Software\Microsoft\MessengerService\Policies
IMWarning = ¿Tus archivos estan a salvo de GEDZAC?

Reparación manual

Importante: debe recuperar los siguientes archivos de algún respaldo anterior, o desde una máquina limpia de virus y con la misma versión del sistema operativo, y copiarlos a la carpeta que se indica:

C:\Windows\regedit.exe
C:\Windows\System\msconfig.exe

Dejar de compartir archivos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre el archivo "Torres_gemelas.txt" y la carpeta "Guindows":

C:\Windows\Torres_gemelas.txt
C:\Windows\Guindows

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

GEDZAC

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\MessengerService
\Policies

5. Pinche en la carpeta "Policies" y en el panel de la derecha busque y borre la siguiente entrada:

IMWarning

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
Descripción actualizada y corregida:  30/ene/03


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com