Método Infección/Efectos escribió:El gusano llega al sistema en un adjunto en mensajes de correo electrónico no deseados.
Cuando se ejecuta, crea un archivo de texto con el nombre ERROR.TXT en el directorio raíz (normalmente C:/). Que contiene el siguiente texto: "Text decoding error".
Abre dicho fichero de texto usando el editor de texto por defecto del sistema afectado.
Descarga copias de sí mismo en la carpeta HIDN que se crea en %User Profile%\Application Data :
* HIDN2.EXE
* HLDRRR.EXE
Nota: %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual. Por defecto es C:\Documents and Settings\[usuario_actual] (Windows NT/2000/XP).
Tener en cuenta que sólo el archivo HIDN2.EXE se ejecuta en memoria y necesita cerrarse.
El gusano crea la siguiente entrada en el registro indicado para provocar su propia ejecución en cada reinicio del sistema:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: drv_st_key = "%User Profile%\Application Data\hidn\hidn2.exe"
También crea la siguiente entrada como parte de la rutina de instalación:
Clave: HKEY_CURRENT_USER\Software\FirstRun
Valor: FirstRun = "1"
Borra la siguiente clave del registro para evitar que el sistema se reinicie en el Modo Seguro:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
se propaga:
hace copias de si mismo cada 2 seg. y los envía a diferentes ficheros y por correo electrónico sin que se le de orden de hacerlo. (los envía en todas las extensiones existentes)
su eliminación solo se puede ejecutar, borrando los ficheros ocultos y restaurando el fichero borrado o formateando el sistema.
![[buenazo]](/images/smilies/nuevos/risa_tonta.gif "buenazo")
![[snif]](/images/smilies/nuevos/triste_ani1.gif "llorando")
. no ahora en serio. es verdad, estaba en ahorro y es por las facturas que llegan, son carismas, dios 100€ de electricidad ¿que habrá en mi casa que gaste tanto?![[+risas]](/images/smilies/nuevos/risa_ani3.gif "más risas")
