Asunto: Hey You
Texto:
hey i finally got my pics scanned..theres like 5 or 6 of them..so just download it and unzip it..and for you people who dont know how to then scroll down..tell me what you think of my pics ok?

if you dont know how to unzip then follow these steps

When you sign off, AOL will automatically unzip the file, unless you have turned this feature off in your download preferences.

If you want to do it manually then

On the My Files menu on the AOL toolbar, click Download Manager.

In the Download Manager window, click Show Files Downloaded.

Select my file and click Decompress.

Archivo adjunto: MINE.EXE (77,855 bytes)

Cuando este archivo es abierto (doble clic) el trojan se instala a si mismo en tres ubicaciones, en todos los casos con los atributos de oculto (+H):

C:\msdos98.exe
C:\Windows\uninstallms.exe
C:\Windows\System\mine.exe

También crea un archivo C:\WINDOWS\SYSTEM\README.TXT conteniendo este texto:

Did you like it? Write Back ok?.

Modifica además la etiqueta "RUN=" en el archivo WIN.INI para ejecutar una de esas tres copias, cada vez que Windows se inicia. Para ocultarse en esta acción, el troyano agrega gran cantidad de espacios delante de su ejecutable, evitando ser visto al editarse el archivo WIN.INI, si no se utiliza la opción "wrap" (Edición, Ajuste de línea en el bloc de notas). Luego pone los atributos de solo lectura (+R) a WIN.INI, evitando su modificación.

Ejemplo:

 [windows]
 run=                                                  C:\Windows\System\mine.exe

Estando residente en memoria, el troyano interfiere con la aplicación WINZIP, y algunas veces no deja que la herramienta REGEDIT se ejecute. También puede hacer que Windows falle y se apague.

Para borrar el troyano, los tres archivos mencionados deben ser eliminados. Como uno de esos archivos está bloqueado al estar activo mientras Windows se está ejecutando, debe ser borrado desde DOS (iniciando en modo "Sólo símbolo de sistema" o desde un disquete de inicio).

Para ello inicie en modo solo símbolo del sistema (CTRL o F8 al reiniciar la computadora y seleccione "Solo símbolo del sistema".

Luego, desde C:\, teclee lo siguiente, cuidadosamente, y dando Enter al final de cada línea:

ATTRIB -R -S -H C:\msdos98.exe
ATTRIB -R -S -H C:\Windows\uninstallms.exe
ATTRIB -R -S -H C:\Windows\System\mine.exe

DEL C:\msdos98.exe
DEL C:\Windows\uninstallms.exe
DEL C:\Windows\System\mine.exe

Luego, desde Windows (ignore el mensaje de error que pueda aparecer al reiniciar el sistema), deberá editar el archivo C:\WINDOWS\WIN.INI para remover la referencia al troyano después de la etiqueta "RUN=". 

Primero, asegúrese de tener la opción para ver todos los archivos activa. Para ello, ir a Inicio, Configuración, Opciones de carpetas en Windows 98, o en cualquier menú Ver de Windows 95, en Opciones (u Opciones de carpetas), y en la opción Ver, marcar la opción "Mostrar todos los archivos ocultos" o similar. También recomendamos DESMARCAR la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

Luego, con el explorador de Windows, localice WIN.INI en la carpeta C:\WINDOWS. Pulse el botón derecho sobre el archivo y en Propiedades, desmarque el atributo "Sólo lectura".

Desde Inicio, Ejecutar, escriba WIN.INI (y Enter).

Se abrirá el bloc de notas conteniendo el archivo WIN.INI. Asegurarse que la opción "Ajuste de línea" en el menú Edición del bloc de notas, está activa, y borre las referencias a cualquiera de los archivos nombrados anteriormente que parezcan después de la etiqueta "RUN=". Puede aparecer en dos líneas, algo como:

  run=
          C:\Windows\System\mine.exe

Borre C:\Windows\System\mine.exe (puede ser cualquiera de los otros archivos del troyano), y deje solo "RUN="

Fuente: F-Secure, Sophos, Symantec, McAfee