Shoho es un gusano reportado el 21 de Diciembre del 2001, de gran peligrosidad y amplia capacidad de difusión masiva en Internet que infecta con el sólo hecho de leer el mensaje, sin necesidad de abrir o ejecutar el archivo anexado (adjunto). Entre sus diferentes payloads, roba información de los usuarios, borra archivos y satura servidores y equipos individuales.

.eml
.wab
.dbx
.mbx
.xls
.xlt
.mdb

Ha sido desarrollado en Visual Basic 6.0, tiene una larga extensión de 108k e infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me, incluyendo los servidores NT/2000, sin necesidad de ejecutar el archivo anexado, con tan sólo visualizar el mensaje, llegando a causar estragos en los mismos.

Los mensajes de correo con texto no visualizable pueden infectar los sistemas con tan sólo pre-visualizarlos, debido a una conocida vulnerabilidad del formato MIME (Multipurpose Internet Mail Extensions), de algunas versiones de Microsoft Outlook, Outlook Express e Internet Explorer que permiten que el archivo anexado sea ejecutado automáticamente, sin necesidad de que el usuario receptor lo active. 

La información de esta vulnerabilidad y el parche correspondiente se encuentra en el siguiente URL de Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

El Service Pack 2 del Internet Explorer 5.5 no requiere de este parche ni tampoco el Internet Explorer 6.

Al leer el mensaje o al ejecutar el archivo anexado, el gusano se auto-copiará a las carpeta C:\Windows y C:\Windows\System con  el nombre WINL0G0N.EXE:

C:\Windows\WINL0G0N.EXE

C:\Windows\System\WINL0G0N.EXE

Luego intentará crear además los siguientes archivos:

Para asegurarse de ser activado la próxima vez que se inicie Windows, el gusano modifica las llaves del registro:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

WINL0G0N.EXE = "C:\Windows\WINL0G0N.EXE"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

WINL0G0N.EXE = "C:\Windows\WINL0G0N.EXE"

EMAILINFO.TXT es el archivo donde se almacenan las direcciones obtenidas desde los archivos .eml, .wab, .dbx, .mbx, .xls, .xlt, .mdb donde se almacenan datos y direcciones de correo de los usuarios.

EMAIL.TXT es un archivo de correo que contiene el archivo WINL0G0N.EXE codificado en formato "base64" que también es utilizado para su propagación.

Inmediatamente el gusano procederá con su auto-envío masivo, incluyendo la información sustraída de los archivos que almacenan direcciones de correo. 

Su payload final destructivo consiste en la búsqueda y eliminación de archivos que provocarán el mal funcionamiento de los sistemas operativos Windows de 32 bits:

PER ANTIVIRUS® versión 7.2 con registro de virus al 21 de Diciembre del 2001 detecta y elimina eficientemente este gusano.