ATTENTION! 

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Adjunto al mensaje, se encontrarán los siguientes archivos decrypt-password.exe y password.txt.  El primero de los archivos en un programa ejecutable comprimido con dos utilidades: UPX y PE-Pack, mientras que el otro archivo es un simple documento de texto con el siguiente contenido:

Your password is W8dqwq8q918213

Este gusano aprovecha la vulnerbilidad "Incorrect MIME Header" del Internet Explorer para ejecutarse automáticamente si se abre el mensaje desde el Outlook o Outlook Express en un equipo que no se encuentra correctamente actualizado. Si el usuario tiene la versión corregida del Internet Explorer, pero ejecuta el archivo adjunto al mensaje, también se verá afectado por el gusano.

Una vez en ejecución, el virus crea una copia de si mismo en el directorio del sistema operativo (normalmente c:Windows, o c:Winnt, dependiendo de la versión que se utilice) con el nombre taskbar.exe.

Luego, modificará el registro del sistema para ejecutarse con cada inicio del equipo, agregando la siguiente entrada:

HKEY_CURRENT_USER/ Software/Microsoft/Windows/CurrentVersion/Run
Task Bar = %Windows%TASKBAR.EXE

Tras esto, comenzará su rutina de propagación, buscando en el registro del sistema información de la cuenta de correo electrónico del usuario, la cual es retribuida por el gusano desde la siguiente entrada:

HKEY_CURRENT_USER/Software/Microsoft/Internet Account/ManagerAccounts0000001

Si la cuenta no estuviera bien configurada o no existiera, el gusano no podrá propagarse por correo electrónico, dado que de allí toma la dirección de remitente y el servidor SMTP a través del que se enviará.

Las direcciones de destino las toma de la libreta de direcciones de Windows, y de los archivos .dbx, .mbx, .eml y .mdb que encuentre en el sistema infectado, enviandoles un mensaje igual al descripto al comienzo de este informe.

Al concluir su reproducción masiva por correo electrónico y tras estar en espera un buen tiempo, el gusano genera una nueva copia de si mismo, con el nombre SETUP.EXE, en el siguiente directorio:

C:/Windows/All Users/Start Menu/Programs/Startup

Dicha carpeta es el directorio de inicio del sistema Windows en sus versiones en inglés, por lo que esta rutina no funcionaría correctamente en otras versiones del sistema operativo.

El gusano además contiene varias direcciones de sitios de internet a los que intentará conectarse para enviar información. También se puede encontrar en su código el siguiente texto, el cual nunca es mostrado al usuario:

thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY

Symantec Corp. liberó una herramienta para eliminar este gusano automáticamente llamada FixFreth y que puede ser descargada desde aquí.

Para eliminar manualmente este virus, siga estos pasos:

• Oprima las teclas CTRL+ALT+DEL (en Windows 9x y Me) o CTRL+SHIFT+ESC (en Windows NT/2000 y XP).
• Finalice la tarea SETUP o SETUP.EXE, marcandola con el mouse y oprimiendo el botón "Finalizar Tarea".
• Utilizando el Editor del  Registro de Windows (REGEDIT.EXE), elimine la entrada TaskBar, en:
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
• Reinicie su equipo y ejecute un antivirus actualizado para eliminar cualquier otro rastro del gusano.

Dado que este virus aprovecha una vulnerabilidad en el Internet Explorer, para estar mejor prevenido es importante actualizar su sistema a través de Windows Update.