Propagación

Utiliza aplicaciones de mensajeria instantánea, el virus busca ventanas activas con el titulo "Conversación" e intenta enviar el mensaje anteriormente comentado. Por el hecho de abrir la supuesta postal, aparece un mensaje de ERROR, que lo muestra el mismo virus, y acto seguido ya inicia su tarea.

Acciones

Entre otras acciones, sobreescribe con su código todos los ficheros que no tengan atributo de sólo lectura (R), oculto (H) o de sistema (S) , tanto del directorio raíz del disco duro, como de los disquetes que hubiera en la disquetera sin protección contra escritura repetitivamente, manteniendo el mismo nombre del fichero y su icono, pero añadiéndoles extensión EXE a la que ya tuvieran, de forma que un fichero NOMBRE.BAT se transforma en NOMBRE.BAT.EXE, de este modo cuando son ejecutados en realidad ejecutamos el virus.

Esto es especialmente grave en antiguos sistemas operativos como Windows 95, 98 y Me, pues se sobrescribe con el virus los ficheros COMMAND.COM, AUTOEXEC.BAT y CONFIG.SYS entre otros, con lo que el equipo ya no arranca,

Y si no se tiene cuidado, aun después de eliminar el virus del disco duro, puede quedar en los disquetes que han sido insertados en la disquetera durante la infección (el virus mantiene el nombre, la primera extensión y el icono), por lo tanto si se intenta ejecutar un fichero de dicho disquete volvería a infectarse el sistema.

Crea una clave de desactivación del TASKMANAGER, con lo cual ni pueden verse los procesos activos ni se pueden detener.

Genera en C:\ un fichero llamado "CONFESIONAL.TXT" con el siguiente texto:

Paralelamente, con el virus en memoria, inhabilita el "Registro de sistema", "Panel de Control", "Administrador de sistemas", "Utilidad de configuración del sistema" y "Restaurar Sistema" con el fin de que el usuario no pueda finalizar el virus.

La ejecución de este virus crea en la carpeta \drivers\etc\ que cuelga de la de sistema, el fichero "JESSE.EXE" (en los sistemas que tienen dicha ruta, W9x y Me no la tienen), cargándose en posteriores reinicios desde una clave RUN del registro que llama a dicho fichero. En los sistemas que no la tienen, hace la función de sobrescribir los ficheros, pero ya no vuelve a cargarse en los siguientes arranques al no existir ni la ruta de carga ni el fichero, aparte de que ya no arrancarían por falta del COMMAND.COM , aunque exista en su lugar un COMMAND.COM.EXE que es el propio virus sobreescrito en dicho fichero.

Los ficheros sobrescritos, borrados en consecuencia, deben ser restaurados a partir del original o copia de seguridad, quedando un informe de las acciones de dicho proceso de eliminación en C: \INFOSAT.TXT para que el usuario pueda ir restableciendo los ficheros eliminados.