ccapp.exe
ccregvfy.exe
iexplore.exe

El siguiente texto también es agregado a los archivos infectados:

UssaShohhdi

Cuando un archivo infectado se ejecuta, el script VBS que incorpora el virus es liberado y ejecutado. El mismo realiza el envío masivo de si mismo a contactos de la libreta de direcciones de la máquina infectada, en un mensaje con las siguientes características:

Asunto: MyFriend,How are you?
Texto del mensaje: Please See The Attachment (Important)!
Datos adjuntos: [una copia del archivo infectado]

El script crea la siguiente entrada en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion
UssaShohhdi? = 1

La entrada funciona como una especie de semáforo, para no volver a enviar mensajes infectados.

Cada vez que se ejecuta, el virus examina la fecha del sistema. Si el mes actual es mayo de 2004 o superior, el virus borra los siguientes archivos:

c:\command.com
c:\io.sys
c:\msdos.sys
c:\ntdetect.com

Esto puede hacer que Windows no se reinicie.


Reparación manual

Debido a la naturaleza destructiva del virus, luego de una infección, probablemente deba reinstalar Windows o recuperar los archivos borrados. Sin embargo, esto lo deberá hacer desde un disquete o CD de inicio.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Repare (*) los archivos detectados como infectados

(*) Algunos archivos del virus solo podrán ser borrados


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com