C:\Windows\Vicevi_teza_odvala.txt.exe
C:\Windows\System\Vicevi_teza_odvala.txt.exe

Note la doble extensión, truco que puede llegar a engañarnos, haciéndonos ver este archivo como un "inocente" .TXT (archivos de texto), cuando en realidad se trata de un ejecutable (.EXE).

Para poder ver las extensiones verdaderas de los archivos, recomendamos ir a Inicio, Configuración, Opciones de carpetas en Windows 98, o en cualquier menú Ver de Windows 95, en Opciones (u Opciones de carpetas), y en la opción Ver, DESMARCAR la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

"VICEVI_TEZA_ODVALA.TXT.EXE" es también agregado al registro de Windows, para que sea ejecutado en cada reinicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sintesys = c:\windows\system\Vicevi_teza_odvala.txt.exe

En este caso, el virus no funcionará en aquellas instalaciones donde Windows no esté en el directorio "C:\WINDOWS" por defecto, ya que no utiliza la variable de entorno correspondiente, sino la cadena textual contenida en su propio código.

El gusano también se copia a si mismo con el mismo nombre, al directorio raiz de todas las unidades lógicas disponibles (locales o remotas), por ejemplo:

C:\VICEVI_TEZA_ODVALA.TXT.EXE
D:\VICEVI_TEZA_ODVALA.TXT.EXE
[...]
Z:\VICEVI_TEZA_ODVALA.TXT.EXE

El worm se conecta con el Outlook, a través de las funciones MAPI de Windows. Es capaz de enviarse a todos los contactos obtenidos de la libreta de direcciones, en un mensaje con estas características (existen cuatro variaciones, elegidas al azar, y diferentes solo en el texto del cuerpo del mensaje):

Asunto: Vicevi!
Texto:
Cao! Izvini sto te uznemiravam ovako, ali evo saljem ti neke viceve koji cete sigurno oraspoloziti!

Archivo adjunto: Vicevi_teza_odvala.txt.exe

Asunto: Vicevi!
Texto:
Vozdra! Evo pogledaj ove viceve koje sam i ja dobio neki dan! Pravo su smijesni!

Archivo adjunto: Vicevi_teza_odvala.txt.exe

Asunto: Vicevi!
Texto:
Cao korisnice! Znam da sigurno nemas vremena da pogledas ove viceve koje ti saljem. Nadam se da ces imati vremena da ih pogledas!

Archivo adjunto: Vicevi_teza_odvala.txt.exe

Asunto: Vicevi!
Texto:
Zdravo! Nemoram ti nista pricati...samo pogledaj ovu veliku kolekciju viceva ;)

Archivo adjunto: Vicevi_teza_odvala.txt.exe

Para esconder su actividad, cuando abrimos el archivo adjunto (doble clic sobre él como ya dijimos), el virus despliega una ventana con el siguiente título y un botón:

...cash!
[   Raspakuj viceve!   ]

Al pulsar en el botón [ Raspakuj viceve! ], aparece este otro mensaje:

WinZip SelfExtractor: Warning
CRC error: 234#21
[   OK   ]

Para eliminarlo manualmente

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run
Sintesys

3. Pinche sobre la carpeta "Sintesys" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su PC (Inicio, Apagar el sistema, Reiniciar)

6. Busque (Inicio, Buscar, Archivos y carpetas) y borre el siguiente archivo (asegúrese de tener habilitada la opción para ver todas las extensiones, como indicamos más arriba):

VICEVI_TEZA_ODVALA.TXT.EXE

7. Revise su computadora con un antivirus al día.

Fuente: Kaspersky


Temas relacionados:
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?
26/nov/00 - Pautas generales para mantenerse alejado de los virus
10/nov/00 - La primera línea de defensa contra los virus: USTED