Another one?
Attatchments
Ciao TONA
Darling
Do not release, its the internal rls!
elegant ppl should satisfy thier taste with elegant things ;)
Error
gift for you TONA :)
Happy Times :)
hello
hello TONA
Hey I thought you trusted me but ...
Hey Wussap?
hey wuts up TONA?
hey wuts up?
heyyy
heyyy TONA
Heyyyyyyyy Lola Wussaaap??
hi TONA
Hiiiiiii
Hiiiiiii TONA
hola TONA
information
information for you, TONA
La Transaction De Courrier A
La Transazione Della Posta
Leaked
Mail Delivery System
Mail Transaction Failed
New Internal Rls...
Pr0n!
read it immediately
Returned mail -
s a nice Picture
s the archive you requested
s the document
s the document you requested
Server Report
something for you
Status
Stolen
TONA, you have to see this!
Undeliverable mail -
Unknown
Useful
venuto a mancare
Very funny
Wait for more :)
warning

Texto del mensaje: [uno de los siguientes]

heyyyy i tried many times to send u this email 
but ur account was out of storage as i

Heyyyy TONAI lost the other email , anyway i 
sent u all u needONCRi have just got it , plz

Hi TONA its FRNA.ONCRONCRI was shocked, when 
I found out that it wasn't you but your twin 
brother,ONCRthat's amazing, you're as like as 
two peas. No one in bed is better thanONCRyou 
TONA. I remember, I remember everything very 
well, that promised youONCRto tell how it was, 
I'll give you a call today after 9. He took my 
skirtONCRoff, then my panties, then my bra, he 
sucked my t**s, with the same furyONCRyou do 
it. He was writing alphabet on my pussy for 20 
minutes, thenONCRsuddenly stopped, put me in 
doggy style position and stuck his
dagger.ONCRBut TONA, why didn't you warn me
that his dick is 15 inches long? I
wasONCRstruck, we fucked whole night. I'm so
thankful to you, for acquainted meONCRto your
brother. I think we can do it on the next
Saturday all threeONCRtogether? What do you
think? O yes, as you wanted I've made a few
picturesONCRcheck them out in archive, I hope
they will

i just wanted to say sorry for last 
nightONCRand .. i wish u accept this as an

i lost FRNA's Email plzz send this file to her 
:)ONCRand tell her i can't be online

i thing the subject is enough to describe the 
attached file !ONCRcheck it out and replay your

i'm fine , thanx for asking :) ONCRand thanx 
for the nice attachements.ONCRbut

i've got this surprise from a friend :)ONCRit 
really deserves a few minutes of your

I've got your email , but you forgot to upload 
the attachments.ONCRDon't be selfish , i sent

sendmail daemon reported: Error #804 occured 
during SMTP session.ONCRPartial

The message cannot be represented in 7-bit
ASCII encodingONCRand has been sent as a

The message contains MIME-encoded
graphicsONCRand has been sent as a binary

YO TONA , IM SICK OF UR EMAILS , IF U LOSE IT
AGAIN I WONT GIVE IT TO U, SAVE

you seem to be mad @ me coz i didn't send u
anything for along time,ONCRi didn't forget u ,
but i was kinda busy , i've got all of ur
emailsONCRthanx :) and i hope u accept this one
as an

your name is wrong

Datos adjuntos: [diferentes nombres]+[extensión]

Donde [extensión] puede ser cualquiera de las siguientes:

.bat
.exe
.pif
.scr
.zip

Cuando se ejecuta, el gusano se copia en las siguientes ubicaciones:

c:\windows\svchost.exe
c:\windows\system\mssvc.dll

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Service Host Driver = c:\windows\svchost.exe

HKCU\Software\Microsoft\Command Processor
AutoRun = c:\windows\svchost.exe

También modifica la siguiente entrada en el registro:

HKCR\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
(Predeterminada) = c:\windows\system\mssvc.dll

El gusano crea además, un archivo de texto, que guarda con el nombre WSICK32.DLL, en la carpeta System o System32 de Windows. Este archivo sirve para almacenar los mensajes de correo electrónico.

Para propagarse por correo electrónico, utiliza su propio motor SMTP, por lo que no depende del cliente de correo instalado. Los mensajes son enviados a direcciones obtenidas en diferentes archivos de la computadora infectada.


Reparación manual

Deshabilitar las carpetas compartidas de programas P2P

Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.

Para ello, siga las instrucciones del siguiente artículo:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\svchost.exe
c:\windows\system\mssvc.dll

IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\SVCHOST.EXE, ya que es un archivo legítimo de Windows.

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Service Host Driver

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Command Processor

5. Pinche en la carpeta "Command Processor" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

AutoRun

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32

7. Pinche en la carpeta "InProcServer32" y cambie lo siguiente:

(Predeterminada) = c:\windows\system\mssvc.dll

Por lo siguiente:

En Windows 95, 98 y Me:

(Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL

En Windows NT, 2000 y XP:

(Predeterminado) = %SystemRoot%\System32\webcheck.dll

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com