Este gusano se propaga a través del correo electrónico, en un mensaje con un adjunto en formato .EXE. Se trata de un archivo ejecutable Win32, escrito en Visual Basic, y de un tamaño aproximado de 12 Kb.

El gusano utiliza el Outlook Express, y se envía a todos los contactos de su libreta de direcciones.

El mensaje que recibimos, y el que envía el gusano si se produce la infección, tienen estas características:

Asunto: Hi!
Texto: check this out!!!
Archivo adjunto: system32.exe

Cuando se activa el gusano, al pinchar sobre el archivo adjunto, el virus se copia a los directorios por defecto de Windows o Windows NT con el mismo nombre:

C:\Windows\SYSTEM32.EXE
C:\WinNT\SYSTEM32.EXE

El gusano se copiará también dentro del directorio actual, pero puede fallar si no se ejecuta sobre la unidad C:. Esto podría ocurrir si por alguna razón el directorio temporal de Windows donde el gusano se copia para grabar el mensaje infectado, estuviera en otra unidad de disco.

También fallará si Windows está instalado en una carpeta diferente a la usada por defecto (C:\WINDOWS o C:\WINNT)

El gusano modifica las siguientes claves del registro, para ejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SYSTEM32 = C:\Windows\SYSTEM32.exe

o

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SYSTEM32 = C:\Winnt\SYSTEM32.exe

Una de las versiones del gusano (A), es capaz también de modificar el archivo Win.ini:

[Windows]
load=C:\WINDOWS\SYSTEM32.exe
open=C:\WINDOWS\SYSTEM32.exe

o

[winnt]
load=C:\Winnt\SYSTEM32.exe
open=C:\WINDOWS\SYSTEM32.exe

Una vez en la memoria, el gusano se mantendrá como un servicio (proceso oculto), pero mostrará un icono (unas hojas de mariguana) al lado del reloj del sistema.

Si se pulsa sobre este icono, se desplegará el siguiente mensaje:

IMPORTANT: PLEASE READ 

I think i speak for every pot smoker in North America when i say: *Legalize Marijuana*...I mean if people with AIDS, Cancer and other deaises can use it then why cant the rest of us (pot smokers) use it?, I dont think that's very fair (Do you?). If it's legal to grow and use in places like: Australia (for personal use) then why not in North America? If doctors are useing it as a treatment for illness then it must not be *THAT* harmful (So why can't other people use it?). I really do think the federal goverment should consider legalization of marijuana. Well that's really all i have to say on the matter, but i do hope somebody, somewhere listens to what i have to say and does not just regard this as just another *virus* because it's more then that, it's a message, a message for freedom, the freedom to smoke up and have the chose to do so *WITHOUT* fear of punishment from the law and the goverment. Thank you for your time.

Cuando el reloj del sistema marca las 4:20 y las 16:20, el gusano muestra la siguiente ventana de diálogo:

The Marijuana Virus!!
Its 4:20, Time to toke up :)
[    Aceptar    ]

El virus también modifica las siguientes claves del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOrganization = Stoner's Pot Palace.
RegisteredOwner = Im A Pot Head!

Esto cambia los datos de registración del usuario en Windows.

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = http://my.marijuana.com
Window Title = Marijuana Explorer (LEGALIZE IT!!!) 

Esto modifica la pagina de inicio del Explorer, y el título de su ventana.

Para remover este virus de un sistema infectado, ejecute un antivirus al día, y borre los archivos del gusano.

Luego, utilice el editor de registro REGEDIT (Inicio, Ejecutar, escriba REGEDIT y Enter), para eliminar las siguientes entradas, con los siguientes pasos:

1. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

2. Pinche sobre la carpeta RUN, y en el panel de la derecha, busque y borre la entrada "SYSTEM32"

3. Busque la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Internet Explorer
Main

4. En el panel de la derecha busque:

Start Page "http://my.marijuana.com"

Modifique el valor de "Start Page" por la página de su preferencia.

En el mismo panel, busque y borre la entrada "Window Title".

5. Busque luego la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion

6. En la ventana de la derecha, modifique los valores "RegisteredOwner" y "RegisteredOrganization" por su nombre y el de la organización.

Use "Registro", "Salir" para salir del editor y confirmar los cambios.

Luego, desde Inicio, Ejecutar, escriba WIN.INI y pulse Enter.

Si existen, modifique las entradas bajo [Windows] (o [winnt]), borrando el contenido de "load=" y "open=" si son los siguientes:

load=C:\WINDOWS\SYSTEM32.exe
open=C:\WINDOWS\SYSTEM32.exe

Cámbielos por:

load=
open=

Fuente: Kaspersky Labs. México
(c) Video Soft - http://www.videosoft.net.uy