El gusano, llamado Shoho o Welyah, se expande a través de su propio motor de correo electrónico, en lugar de utilizar Microsoft Outlook, como la mayoría de gusanos. Shoho trata de borrar archivos, según las compañías antivirus Network Associates y Trend Micro. El gusano también se aprovecha de la misma vulnerabilidad del navegador de Microsoft, Explorer, que el gusano Badtrans. Esta vulnerabilidad permite al gusano ejecutarse cuando se abre o previsualiza un mensaje de correo electrónico infectado, en lugar de requerir que el usuario haga doble clic sobre un documento vinculado.
Incluso los usuarios que tengan clientes de correo que no sean Outlook se pueden ver afectados si hacen doble clic sobre los documentos vinculados infectados por Shoho.
Aunque ambas compañías afirman que este gusano es de bajo riesgo, su capacidad para borrar archivos es peligrosa. Los usuarios deben actualizar sus antivirus para que detecten esta nueva plaga. Microsoft ya ha publicado un parche para solucionar el problema de Explorer en
www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-027.asp.
Shoho llega a la bandeja de entrada con el asunto “Wellcome to Yahoo! Mail” (bienvenido al correo de Yahoo!), y un mensaje cuyo cuerpo incluye el mismo texto. También se adjunta en el mensaje un archivo llamado Readme.txt. Realmente es un archivo .pif, aunque entre la extensión .txt y la extensión .pif hay 125 espacios en blanco para que los usuarios no vean la verdadera extensión del archivo, según Trend Micro. Network Associates informe de que el archivo Readme.txt es un archivo .exe, en lugar de .pif.
Al hacer doble clic sobre el adjunto o al abrir o previsualizar un e-mail que lo contenga, el gusano se autoenvía a todas las direcciones que encuentra en la libreta de direcciones de Outlook. Utiliza su propio motor SMTP (Simple Mail Transfer Protocol), en lugar de el de Outlook, según Trend Micro. Network Associates, por su parte, dice que el gusano escanea el disco duro del usuario buscando direcciones de correo electrónico, y las almacena en un archivo llamado EmailInfo.txt antes de enviarse a sí mismo a dichas direcciones.
Una vez que el gusano se ha activado, trata de agregar una media docena de archivos al sistema y de borrar decenas de ellos, según las compañías antivirus. La eliminación de dichos archivos podría dañar la máquina y provocar que no se ejecutarse el sistema adecuadamente. Este gusano sólo afecta a los PC con Windows.
www.microsoft.com
www.trendmicro.com
www.nai.com 
