El MSN Messenger resulta ser la vía de proliferación de este gusano de Internet denominado BlackAngel.B. Logra desactivar varias funciones de seguridad e impide al usaurio llegar a herramientas del sistema tales como el Administrador de tareas, el editor del registro, el comando ejecutar, etc.

En su primera ejecución, los siguientes archivos son generados en la carpeta de Windows y las unidades A: y C:

WAM.EXE (Copia de sí mismo).
AUTOR.TXT (Block de notas con la dirección de correo del programador del BlackAngel.B).
LSTX.BAT (Archivo con los procesos que intentará finalizar).
SYSTEMWORK.BAT y WIN_NT.BAT

Los archivos AUTOEXEC.BAT y CONFIG.SYS pueden ser eliminados por el

Si estos archivos son borrados, el BlackAngel.B realiza dos copias de sí mismo para hacerlas pasar por los elemetos que eliminó. Los denomina igual que a los archivos borrados y les agrega la extensión EXE.


Modifica entradas en el registro para reiniciar sus operaciones junto con Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
axel = %windir%\cursors\wam.exe

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ system disabletaskmgr = 1


Consigue inhabilitar el Administrador de Tareas mediante la siguiente entrada:

HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ day\ number
nday = %[Fecha en la que se produjo la infección]%

HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ ok\ ami
virus = infectado


También despliega la siguiente imagen cunado es ejecutado (imagen de Panda):

Más Información: