Asunto: Try this IQ test
Archivo adjunto: Mensa_IQ_Test.doc.vbs (4,068 bytes)

Note la doble extensión del archivo, que en realidad es .VBS pero bajo la configuración normal de Windows, solo será visible la extensión .DOC.

Cuando el adjunto es ejecutado, el gusano genera 408 archivos con los siguientes nombres:

Jens_JeremiesXXX.ext

Donde "XXX" es un número, y ".ext" es una de las siguientes extensiones:

.doc
.xls
.ppt
.jpg

Por ejemplo:

Jens_Jeremies001.doc
Jens_Jeremies400.jpg

El gusano genera 51 archivos con cada extensión en el raíz de C (204 archivos en total) y en la carpeta del escritorio de Windows: C:\WINDOWS\Escritorio (otros 204 archivos).

Los archivos con extensiones .DOC y .XLS contienen el texto:

Everybody Loves Jens Jeremies!

Los archivos con extensiones .PPT y .JPG están vacíos (y su tamaño es de cero bytes).

Luego, el gusano se copia a la carpeta \System de Windows:

C:\Windows\System\Mensa_IQ_Test.doc.vbs

Agrega la siguiente clave al registro, para ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AntiVirus = C:\Windows\System\Mensa_IQ_Test.doc.vbs

Luego, modifica el valor de "Start Page" en estas ubicaciones, para hacer que la página de inicio del Explorador apunte a una página sobre el astro del fútbol alemán Jens Jeremies:

HKLM\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\Main

También modifica los siguientes valores en el registro:

HKLM\System\CurrentControlSet\Control\ComputerName\ComputerName
ComputerName = "Jens Jeremies' Computer"

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner = "Jens Jeremies"

El gusano utiliza luego el navegador por defecto (cualquiera que sea), para abrir la página configurada como página de inicio del Internet Explorer (la página de Jens Jeremies).

Luego de ello, el gusano envía el siguiente mensaje a todos los contactos de la libreta de direcciones del Outlook y Outlook Express:

Asunto: Try this IQ test

Texto:
Hey! Check out this IQ test I found on the net. I scored
in the 98th percentile! If you get more than 24 correct
then you are a genius. See how you go.
Regards,
[nombre del usuario registrado]

Archivo adjunto: Mensa_IQ_Test.doc.vbs

Finalmente, el gusano muestra este mensaje:

You are very intelligent.
You scored in the 98th percentile!
Jens Jeremies is proud of you.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Para aumentar nuestra protección aconsejamos se utilice algún programa que detecte todo archivo potencialmente peligroso, recibido por correo electrónico.

Sugerimos para ello, la nueva versión del ZoneAlarm (gratuito para su uso personal), que además de ser un excelente cortafuegos que protege nuestro PC de intrusos externos e internos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Zone Alarm puede ser bajado de nuestro sitio, si se dirige al área "Otro software". También encontrará allí las instrucciones para instalarlo y configurarlo fácilmente.

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Buscar, Archivos o carpetas.

2. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

3. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente (sin espacios):

Jens_Jeremies*.*

4. Pinche en "Buscar ahora".

5. Si aparecen archivos, márquelos.

6. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado de todos esos archivos.

7. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

8. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

9. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

10. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como: 

AntiVirus

11. Pinche sobre el nombre "AntiVirus" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

12. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: 

HKEY_LOCAL_MACHINE
System
CurrentControlSet
Control
ComputerName
ComputerName

13. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

ComputerName

14. Pinche sobre el nombre "ComputerName" e ingrese el nombre de la computadora (opcional).

15. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion

16. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

RegisteredOwner

17. Pinche sobre el nombre "RegisteredOwner" e ingrese el nombre del usuario registrado para la versión actual de Windows (opcional).

18. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

19. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

20. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia.


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy