Se trata de un virus de Visual Basic Script que infecta ficheros con las siguientes extensiones: HTML, HTM; ASP, VBS y HTT. Para su propagación utiliza Outlook Express al estilo de los gusanos pero no como un fichero adjunto al mensaje sino como código script, oculto dentro del diseño de fondo por defecto de los mensajes. En realidad esto es un documento HTML donde se encuentra el script del virus. 

          Como efecto destrcutivo, si en el momento de su activación la suma del día y el mes es igual a 13, el virus pasa de infectar ficheros con extensiones HTM, HTM, ASP, VBS y HTT a buscar y eliminar ficheros con extenciones DLL y EXE. Todo esto es realizado en todas unidades de disco tanto locales como de red. 
  
  
Modo de propagación: 
  
          Este virus utilza el correo electrónico para propagarse a otros sistemas. Para hacer esto, el virus oculta su código en el documento HTML que sirve de fondo a los mensajes enviados con Outlook Express. Es en este documento HTML donde se oculta el script del virus. 
  
 
Síntomas de infección: 

          Si en el momento de su activación el valor resultante de la suma de del día y el mes es igual a 13, el virus dejará de infectar ficheros con extensiones HTML; HTM,  ASP, VBS y HTT y pasará a buscar y eliminar ficheros con extensiones EXE y DLL. El virus realizará todas estas acciones en todas las unidades tanto locales como de red.  

          Por otra parte, en los ficheros generados por el virus, así como en aquellos que infecta, se puede ver el siguiente texto: 

          Rem I am sorry! Happy time 

          Como síntomas de la presencia del virus en el sistema podemos destacar la creación de de los archivos HELP.HTA y HELP.VBS en la primera capeta que encuentre en la unidad C:. Estos ficheros contienen el código del virus con el formato adecuado a cada tipo de fichero.  

          A continuación se copia en el directorio Windows, en formato HTML con los siguientes nombres: HELP.HTM y UNTITLED.HTM. El primero de estos ficheros es utilzado por el virus para ejecutarse de modo automático siempre que el escritorio esté configurado para que se muestre como una página Web. Para lograr esto, el virus configura este fichero como papel de escritorio a través de la siguiente entrada del registro de Windows:  

          HKEY_CURRENT_USER\Control Panel\Desktop\wallPaper="C:\WINDOWS\Help.htm 
  
  
Métodos de infección: 
  
          Para su propagación a través del correo electrónico, el virus utiliza Outlook Express, configurando el archivo UNTITLED.HTM, que creó en C:\WINDOWS, como diseño de fondo por defecto para los mensajes creado con este programa de correo. 

Esto lo consigue alterando el contenido de las siguientes claves de registro: 

• HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\Outlook Express\5.0\Mail\Message Send HTML="1"

 
• HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\Outlook Express\5.0\Mail\Compose Use Stationery="1"

 
• HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\Outlook Express\5.0\Mail\Stationery Name="C:\WINDOWS\Untitled.htm"

          HKEY_CURRENT_USER\Identities\Default User ID="{USERID}" 

          Después de esto, el virus busca todos los ficheros con extensión .HTT dentro de la carpeta WEB de Windows. Este es el lugar donde se almacenan las vistas en formato HTML de las carpetas del sistema. Por este motivo, si está activa opción que permite ver como una página WEB ciertas carpetas del sistema como pueden ser "Mi PC", "Panel de Control", provocaremos la activación del virus al abrir éstas. 

          Una vez ha realizado todos estos procesos, es decir, en las posteriores ejecuciones, se dedicará a recorrer todas las carpetas de todas las unidades mapeadas, tanto locales como remotas (red), en busca de ficheros con extensión HTML, HTM, ASP o VBS. Cuando encuentre ficheros con estas extensiones, procede a infectarlos. Para no dar error en la ejecución de los archivos infectados, el virus envuelve su código con las etiquetas adecuadas en función del tipo de fichero que infecta. También busca direcciones de correo dentro de los ficheros que infecta, e intenta enviar un mensaje a las direcciones que encuentra. Sin embargo, esta característica no ha podido se probada con éxito en nuestro laboratorio. 

          Si la suma del día actual más el mes actual es igual a 13, el virus deja de infectar ficheros y procede a borrar los ficheos que encuentre con extensiones .EXE y .DLL. El virus trata de localizar estos ficheros a través de todas las carpetas de todas las unidades locales y de red. 

          Adicionalmente, crea otras 3 claves de registro, en las que mantiene varios valores que actualiza constantemente. Entre ellos se encuentra un contador y el nombre y ruta del fichero que actualmente esta infectando o borrando. Dichas claves son las siguientes: 

• HKEY_CURRENT_USER\Software\Help\Count="x"

Esta clave es el numero de veces que se ha ejecutado. 
 
• HKEY_CURRENT_USER\Software\Help\FileName="nombrefichero"

Esta clave hace referencia al nombre y ruta del fichero. 
 
• HKEY_CURRENT_USER\Software\Help\wallPaper="C:\WINDOWS\Help.htm"

• Descargue el fichero PQREMOVE.COM (910Kb.) y guárdelo en el directorio que usted desee. Puede descargarlo, pinchando sobre las siguientes direcciones:

Web de Panda:  updates.pandasoftware.com/pqremove
R.e I.C.A.Z.:  PqRemove.Com 
 

• Ejecute el fichero PQREMOVE.COM haciendo doble clic sobre él.

 
• Una vez realizados estos pasos su equipo quedará completamente desinfectado.