El ‘subject’ del mensaje infectado comienza con «FWD:» y se rellena con texto aleatorio de hasta 30 caracteres de longitud y con una extensión variable de la siguiente lista:
Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt
Por ejemplo :
FW: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp
FW: QKUPLSXOOIBPAGNENGIVPN.Mp3
FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb
FW: HBLHCJOFFZS.Mdb
FW: MGQMHOTKKEXLWCJAJ.Doc
FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb
FW: CWGCXE.Mp3
Lo podemos ver en la imagen:
El cuerpo del mensaje está vacío y lleva anexo un fichero en VBS con el mismo nombre que el del ‘subject’ del mensaje pero con la extensión añadida «.VBS»
Ejemplo de como aparece el mensaje:
Tal y como hemos insistido en anteriores ocasiones, si las opciones de nuestro sistema no las hemos cambiado, la extensi¢n real «.VBS» no aparece, por lo que el nombre del fichero anexo facilitar el enga_o.
Cuando el fichero anexo es ejecutado mediante un doble click el virus env¡a una copia de s¡ mismo a todas las direcciones que encuentra en la Agenda de MS OUTLOOK.
A partir de ese momento el virus destruye toda la informaci¢n de nuestro ordenador. Realiza un scan de todos los discos duros en nuestro sistema y reemplaza todos los ficheros con una copia de s¡ mismo y les a_ade la extensi¢n VBS (por ejemplo COMMAND.COM se transforma en COMMAND.COM.VBS ) y como resultado todos los ficheros de todos los discos duros a que tenemos acceso son totalmente destruidos.
Por este motivo el virus solo se puede ejecutar una vez. Manda una copia de s¡ mismo a todos los destinatarios de nuestra libreta de direcciones y despues destruye toda la informaci¢n del ordenador de la v¡ctima.
El virus solo es capaz de distribuirse s¢lo si Ms Outlook est instalado en el sistema de la v¡ctima. Ahora bien, el virus no se distibuye si usamos otro gestor de correo pero s¡ que destruir toda la informaci¢n del disco duro. Este virus es polif¢rmico. Cada vez que infecta un sistema inserta comentarios aleatorios en su c¢digo. Y esto lo hace cada vez que el virus se replica, dando como resultado que su tama_o crezca, por ejemplo:
1 generaci¢n: 110Kb
2 generaci¢n: 248Kb
3 generaci¢n: 403Kb
4 generaci¢n: 585Kb
5 generaci¢n: 805Kb
6 generaci¢n: 1040Kb
e.t.c.
El c¢digo inicial no supera los 5 Kb.
Fuente: AVP
