El texto puede contener porciones de archivos encontrados en el equipo infectado, y el adjunto varia, y puede contener las siguientes cadenas:

Las extensiones de los adjuntos pueden ser .exe, .pif y .scr, y contener una doble extensión, como por ejemplo, .doc.pif. El gusano aprovecha una vulnerabilidad en el Internet Explorer para ejecutarse automáticamente cuando se lee el mensaje en el que viaja. Esta vulnerabilidad se encuentra en la posibilidad de crear encabezados MIME que confunden al navegador y hacen que éste ejecute archivos que no debería.

Cuando se ejecuta, se copia a sí mismo en el directorio de Sistema de Windows, con un nombre aleatorio de cuatro carácteres, y la extensión .EXE. Luego, también agrega una entrada en el registro del sistema para ejecutarse con cada inicio del equipo, en la que hace referencia al archivo EXE creado anteriormente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
RunOnce "%letras aleatorias%" = %archivo de nombre aleatorio%.EXE

Dado que lo anterior no funcionará en todas las versiones de Windows, el gusano también se copia en el directorio de Inicio, como un archivo de extensión EXE, y un nombre aleatorio de 3 carácteres en mayúsculas.

Además, el gusano crea en el sistema infectado un troyano, en un archivo DLL de nombre aleatorio, con capacidades para monitorear la información tecleada por el usuario y enviarla por correo electrónico al autor del gusano; esta técnica se utiliza cada vez más para el robo de contraseñas y de información sensible del usuario afectado, como números de tarjetas de crédito y demás.

Este troyano también intentará detener procesos pertenecientes a firewalls, antivirus y otras herramientas de seguridad, para evitar ser detectado, y además permite el acceso remoto, escuchando en el puerto TCP 36794. Los archivos creados por el troyano son:

• C:\%System%\iccyoa.dll
• C:\%System%\lgguqaa.dll
• C:\%System%\roomuaa.dll
• C:\%Windir%\okkqsa.dat
• C:\%Windir%\ussiwa.dat

(Siendo %System% el directorio de sistema, normalmente Windows\System, y %WinDir%, el de Windows, normalmente llamado de esa forma, en sistemas Windows 9x)

La larga lista de procesos que el gusano intenta detener es la siguiente:

Adicionalmente, el gusano también intenta copiarse en los directorios de Inicio de los equipos que se encuentren en la misma red que el infectado.

Tras completar este proceso, se enviará por correo electrónico a todas las direcciones que encuentre en los archivos con extensión MMF, NCH, MBX, EML, TBB, DBX y OCS.

El gusano se encuentra programado en Microsoft Visual C++, y comprimido con UPX; afecta a todos los sistemas Windows, incluído XP.

Fuente: NAI, Symantec

Para eliminar manualmente el gusano, siga estas instrucciones:

1) Utilizando el Editor del Registro (REGEDIT.EXE), eliminar la clave creada en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce, que ejecuta el gusano. Esta clave tendrá n letras aleatorias, y hará referencia a un archivo de 4 letras aleatorias y extensióm .EXE, ubicado en el directorio de sistema. (por ejemplo, %WinDir%\System\FACV.EXE)

2) Eliminar los archivos del directorio de Inicio del sistema creados por el gusano, los cuales será de 3 letras aleatorias y extensión .EXE, como por ejemplo, CUV.EXE.

3) Ejecutar un antivirus actualizado y reiniciar el equipo.

4) Volver a ejecutar el antivirus y eliminar todo rastro del gusano.

Se recomienda a los usuarios actualizar su Internet Explorer a través de Windows Update, o descargar el parche especifico para la vulnerabilidad aprovechada por el gusano, desde MS01-020

Ya existen algunas herramientas que permiten eliminar este gusano sencillamente:

• FixBugbear (Symantec)
• PQRemove (Panda Software)