Asunto:
You got a Christmas E-Card from you friend!

Texto:
Wishing you a Merriest Christmas!! ;)
You got a Christmas Electronic Card from you friend!! 
Please open attachment to view E-Card 
E-Card Brought To You By,
f0xCiTY

Archivo adjunto: SeasonGreeting.txt.vbs

Note la doble extensión, lo que hace que el virus pueda mostrarse como un inocente .TXT, escondiendo su condición de archivo .VBS

Si pinchamos dos veces sobre el adjunto, el script del virus crea copias de si mismo en estas ubicaciones:

C:\SeasonGreeting.txt.vbs
C:\My Documents\SeasonGreeting.txt.vbs
C:\Program Files\SeasonGreeting.txt.vbs
C:\Windows\Samples\WSH\SeasonGreeting.txt.vbs
C:\Windows\SeasonGreeting.txt.vbs
C:\Windows\System\SeasonGreeting.txt.vbs
C:\Windows\System\SeasonGreeting\SeasonGreeting.txt.vbs

Por cada archivo en C:\My Documents y C:\, una copia del script es creada con este nombre:

ARCHIVO.txt                                                    .vbs

Entre la extensión .TXT y .VBS se crearán varios espacios en blanco. Esto hace que a pesar de tener la opción para ver las extensiones verdaderas habilitada, la verdadera extensión pueda quedar oculta, fuera de la ventana del explorador.

Luego de esto, el gusano se enviará a todos los contactos de la libreta de direcciones de Windows (Windows Address Book) con las mismas características del mensaje recibido anteriormente.

Si está presente el archivo C:\MIRC\SCRIPT.INI, el mismo será sobrescrito con las instrucciones necesarias para enviar el archivo C:\WINDOWS\SYSTEM\SEASONGREETING\SEASONGREETING.TXT.VBS a todos los usuarios de IRC que se unan al mismo canal de chat en que se encuentra la computadora infectada.

Los siguientes datos en el registro son creados o modificados:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDesktop=1

HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
BootAutoexecFile=C:\Windows\System\SeasonGreeting\SeasonGreetingAutoExec.bat

HKCU\Control Panel\Mouse
MouseSpeed=0

HKCU\Control Panel\Mouse
SwapMouseButtons=1

HKCU\Control Panel\Mouse
DoubleClickSpeed=100

HKCC\Software\Microsoft\windows\CurrentVersion\Internet Settings
ProxyServer=proxy.SeasonGreeting.com.sg:8080

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner=EvilSanta

HKLM\Software\Microsoft\Windows\CurrentVersion
ProductName=SUX Windows 2004

HKCU\Control Panel\Keyboard
KeyboardDelay=3

HKCU\Control Panel\Keyboard
KeyboardSpeed=0

HKCU\Control Panel\Desktop
Wallpaper=C:\Windows\Circles.bmp

HKCU\Control Panel\Desktop
TileWallpaper=1

HKCU\Software\Microsoft\Notepad
lfStrikeOut=

HKCR\.mp3\Content Type=SeasonGreeting

HKCR\.jpg\Content Type=SeasonGreeting

HKCR\.gif\Content Type=SeasonGreeting

HKCR\.exe\Content Type=SeasonGreeting

HKCR\.mpg\Content Type=SeasonGreeting

Estos cambios, producen los siguientes efectos:

• Esconden el escritorio de Windows
• Cambian el archivo de inicio por defecto, autoexec.bat
• Configura la velocidad del mouse al valor más lento
• Intercambia los botones del mouse (izquierdo por derecho y viceversa)
• Dificulta la acción de doble clic sobre los ítems de menú
• Configura la conexión a Internet para un servidor Proxy falso
• Altera el nombre del usuario registrado
• Altera el nombre del producto (Windows) registrado
• Pone lenta la velocidad de respuesta al teclado
• Altera el papel tapiz por defecto
• Cambia el tipo de letra utilizado por el bloc de notas (NOTEPAD)
• Deshabilita el manejo de los archivos .EXE, .GIF, .JPG, .MP3, y .MPG por parte del Explorer

El virus también crea el archivo C:\Windows\System\SeasonGreeting\SeasonGreetingAutoExec.bat, el cuál contiene las siguientes instrucciones:

@Echo off
echo.
echo Evi|SanTa WiSHEs eVeRybOdY a HaPPy x'MaS!!
echo :-)
del c:\mydocu~1\*.txt
del c:\mydocu~1\*.zip
del c:\mydocu~1\*.exe

Si existe la carpeta "C:\My Music", estas líneas son también incluidas:

del c:\mymusi~1\*.mp3
del c:\mymusi~1\*.mp2

Si existe la carpeta C:\My Documents\My Music, se agregan estas instrucciones:

del c:\mydocu~1\mymusi~1\*.mp3
del c:\mydocu\mymusi~1\*.mp2

Esto pretende borrar los archivos .TXT, .ZIP, .EXE, .MP3 y .MP2 en los directorios mencionados (salvo el raíz de C:\, es probable esto no funcione en las versiones en español de Windows).

Es fácil darse cuenta de la infección. Los síntomas son muy notorios: el cambio de los botones del mouse (izquierdo por derecho, etc.), esconder el escritorio y la alteración del papel tapiz.

Para removerlo manualmente

Ejecute un antivirus actualizado, luego borre todos los archivos infectados.

Con la utilidad REGEDIT (Inicio, Ejecutar, escriba REGEDIT y Enter), corrija los cambios hechos al registro de la siguiente manera:

1. Borre las siguientes ramas:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\BootAutoexecFile
HKCU\Control Panel\Mouse\MouseSpeed
HKCU\Control Panel\Mouse\SwapMouseButtons
HKCU\Control Panel\Mouse\DoubleClickSpeed
HKCU\Control Panel\Keyboard\KeyboardDelay
HKCU\Control Panel\Keyboard\KeyboardSpeed
HKCU\Software\Microsoft\Notepad\lfStrikeOut

Note que deberá borrar la última carpeta, no toda la rama. Por ejemplo, en el primer ejemplo, borre la carpeta "NoDesktop", en el segundo "BootAutoexecFile", etc..

2. Modifique también los valores reales de estas claves:

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner=[su nombre]

HKLM\Software\Microsoft\Windows\CurrentVersion
ProductName=Windows [la versión de Windows]

3. Restaure además estos valores:

HKCU\.mp3\Content Type=audio/mpeg
HKCU\.jpg\Content Type=image/jpeg
HKCU\.gif\Content Type=image/gif
HKCU\.exe\Content Type=application/x-msdownload
HKCU\.mpg\Content Type=video/mpeg
HKCC\Software\Microsoft\CurrentVersion\Internet Settings\ProxyServer=
[ponga el verdadero Proxy si lo tiene, o si lo ignora, deje en blanco esta información]

Fuente: McAfee