Características: Puede ser recibido en un mensaje como el
siguiente:
Asunto:
Outlook Express Update
Texto: MSNSofware Co.
Adjunto:
mmsn_offline.htm
Al
ejecutarse, genera los siguientes archivos en el sistema:
\BLA.HTA
\B.HTM
\T.TXT
\Windows\HELP\MMSN_OFFLINE.HTM
\Windows\SAMPLES\WSH\CHARTS.JS
\Windows\SAMPLES\WSH\CHARTS.VBS
Genera un archivo SCRIPT.INI en el directorio del programa mIRC, si
existe, para poder propagarse a través del chat. Intentará enviar el
archivo MMSN_OFFLINE.HTM a todos los usuarios en el mismo canal de
IRC que el infectado.
Luego se reenvia a todos los contactos en la libreta de direcciones
del sistema con el mensaje y archivo adjunto descripto al principio.
Modifica el
AUTOEXEC.BAT,
archivo de inicio de los sistemas Windows 9x, agregandole un comando
para formatear la unidad principal del equipo infectado en el
siguiente reinicio.
Creará la siguiente entrada en el registro que le permitirá
iniciarse automáticamente en el próximo arranque del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NAV DefAlert = C:\WINDOWS\help\mmsn_offline.htm
También genera las siguientes claves en el registro:
HKCU\Software\Microsoft\Windows Scripting Host\Settings\Timeout
HKCU\Software\TheGrave\badUsers\v2.0
Si
encuentra unidades de red conectadas al sistema, intentará copiar en
los directorios de inicio de ellas, un archivo de nombre
MSOE.HTA,
que permitirá al gusano infectar los equipos que se encuentren en
red con el sistema infectado.
Al
finalizar, sobreescribe todos los archivos ASP, HTM y HTML del
sistema con el código del gusano, y deja en longitud cero todo el
resto de archivos en la unidad principal del equipo infectado. |