c:\windows\system\[nombre al azar].exe

También copia con un nombre al azar, el archivo DLL del componente troyano en la misma carpeta. Adicionalmente, crea otros dos DLL con nombres al azar en la misma carpeta, y dos archivos con extensión .DAT en la carpeta de Windows. Estos dos últimos archivos contienen la información robada a la víctima, en un formato encriptado.

Crea la siguiente entrada para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[al azar] = c:\windows\system\[nombre al azar].exe

Antes de propagarse, el gusano busca direcciones electrónicas en archivos con las siguientes extensiones en la máquina infectada:

.dbx
.eml
.mbx
.nch
.ods
.tbb

También examina la bandeja de entrada del correo de Netscape para obtenerlas.

El gusano envía sus mensajes con cualquiera de los siguientes asuntos:

!!! WARNING !!!
[Fwd: look] ;-)
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Correction of errors
Cows
Daily Email Reminder
empty account
fantastic
free shipping!
good news!
Greets!
Hello!
Hi!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
News
Payment notices
Please Help...
Re:
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
wow!
Your Gift
Your News Alert

El nombre del archivo adjunto, es tomado al azar de archivos con extensión .INI y .RDP, o es seleccionado de la siguiente lista:

Card
data
Docs
image
images
music
news
photo
pics
readme
resume
Setup
song
video

El adjunto tendrá alguna de las siguientes extensiones:

.exe
.pif
.scr

El gusano también puede arribar en un mensaje conteniendo un script que se aprovecha de una conocida vulnerabilidad, la cuál permite que el gusano se ejecute sin la intervención del usuario, simplemente por leer el mensaje, y sin abrir adjunto alguno.

En caso de ejecutarse, el gusano se copia en el sistema con el siguiente nombre:

IEXPLORE.EXE

El gusano evita enviarse a direcciones que contengan las siguientes expresiones:

=?
begin pgp
free
list
localdomain
localhost
lyris
mailer-daemon
majordom
ndeliverable
nobody@
noreply
porn
postmaster notify
postmaster@
recipients
remove
returned mail
root@
spam
subscribe
talk
ticket
trojan
undisclosed
virus
warning: could not
worm

El remitente del mensaje es falso, y su dirección puede ser tomado de la lista de direcciones recogidas antes, o seleccionada de la siguiente lista que el gusano contiene en su código (esta es una lista parcial):

a
aak
aaron
able
about
above
accept
accident
accounts
accuse
across
act
activist
actor
add
administration
admit
adrian
advise
advisors
advisory
affect
afraid
after
again
against
age
agency
aggression
ago
agree
agriculture
ah
aid
aigua
aija
aim
air
aircraft
airplane
airport
alain
alan
albert
alex
alexander
alfred
alicia
alison
alive
all
allen
ally
almost
alone
along
already
also
although
always
amb
ambassador
amend
amex
amit
ammunition
among
amount
an
ana
anarchy
ancient
and
anders
andre
andrea
andreas
andres
andrew
andy
ange
angela
angelo
anger
animal
anita
ann
anna
anne
anneli
annette
anniversary
announce
another
answer
anthony
anton
antonio
antti
any
apologize
appeal
appear
appoint
approve
archives
area
argue
arichards
arja
armin
arms
army
arnaud
around
arrest
arrive
art
artillery
arto
as
ash
ask
assist
astrid
astronaut
asylum
at
atendimento
atmosphere
atom
attack
attempt
attend
automobile
autumn
awake
award
away
axel
back
bad
balance
ball
balloon
ballot
ban
bank
bar
base
battle
bcooper
bcopep
be
beach
beat
beatrice
beauty
because
becky
become
bed
beg
begin
behind
believe
bell
belong
below
bennett
benno
berit
bernard
bernd
bernhard
best
betray
better
between
big
bill
bird
birgit
bite
bitter
bjorn
black
blame
blanket
bleed
blind
blm
block
blood
blow
blue
bnelson
boat
bob
body
boil
bomb
bone
bonny
book
border
boris
born
borrow
both
bottle
bottom
box
boy
bpr
brain
brandon
brave
bread
break
breathe
brenda
brian
bridge
brief
bright
bring
brita
britt
broadcast
brother
brown
bruce
bruno
build
bullet
burn
burst
bury
bus
business
busy
but
buy
bwilliams
by
cabinet
call
callcenter
calm
calvin
camera
campaign
can
cancel
cancer
candidate
cannon
capital
capture
car
cards
cardservice
care
careers
careful
carina
carlos
carol
caroline
carrie
carrier
carry
carsten
case
cat
catch
catherine
cattle
cause
ccarlson
ccook
cdavis
ceasefire
celebrate
cell
celso
center
century
ceo
ceremony
cgrove
chad
chairman
champion
chance
change
charge
charles
charlie
chase
cheat
check
cheer
chemicals
cheryl
chieg
child
choose
chris
christian
christie
christine
christoph
christopher
chuck
church
cindy
circle
citizen
citizens
city
civil
civilian
cjohnson
clash
claude
claudia
clean
clear
clergy
click
clientes
cliff
climb
clock
close
cloth
clothes
cloud
cmiller
coal
coalition
coast
coffee
cold
colin
collect
collins
colony
color
come
comedy
command
comment
comments
committee
common
communicate
communications
company
compete
complete
compromise
computer
concern
condemn
condition
conference
confirm
conflict
congratulate
congress
connect
conny
conservative
consider
contact
contactus
contain
continent
continue
control
convention
cook
cool
cooperate
copy
corporate
correct
correo
cost
costitution
cotton
count
country
court
cover
cow
coward
cporter
craig
craigs
crash
create
creature
credit
crew
crime
criminal
crisis
criticize
crivera
crops
cross
crowd
cruel
crush
cry
cultura
culture
cure
current
custom
customer_service
customerservice
customerservicecenter
customersupport
custserv
cut
cynthia
dale
dam
damage
damien
damir
dan
dana
dance
danger
daniel
daniela
dark
date
daughter
dave
david
day
dead
deaf
deal
deb
debate
debbie
decide
declare
deep
defeat
defend
deficit
degree
delay
delegate
demand
democracy
demonstrate
denis
denise
dennis
denounce
deny
depend
deplore
deploy
derek
describe
desert
design
desire
destroy
details
develop
device
dhall
diana
diane
dick
dictator
die
dietmar
different
difficult
dig
dinner
diplomat
direct
direction
direkt
dirk
dirty
disappear
disarm
discover
discuss
disease
dismiss
dispute
dissident
distance
distant
dive
divide
dnb
do
doctor
document
dollar
dominic
dominik
don
donald
donna
door
doug
douglas
down
draft
dream
drink
drive
drown
drugs
dry
dsmith
dsnyder
duncan
during
dust
duty
dwilliams
each
earl
early
earn
earth
earthquake
ease
east
easy
eat
eberhard
ecommerce
economy
ed
edda
edge
eduardo
educate
edward
effect
effort
egg
either
elect
electricity
electron
element
elizabeth
ellen
email
embassy
emergency
emmanuel
emotion
employ
employment
empty
end
enemy
energy
enforce
engine
engineer
enjoy
enough

El dominio de estas direcciones también es seleccionado al azar.

El gusano puede examinar todos los discos duros, robar los cookies, copiar texto desde una aplicación de Windows activa, almacenar todo lo tecleado por la víctima, guardar el contenido del portapapeles, etc.

Esta información es encriptada y enviada a una de 8 direcciones y 8 servidores (cada vez), presentes en un listado en su propio código. Este envío se hace regularmente mientras el gusano esté activo en memoria, y exista una conexión a Internet establecida.

El gusano monitorea y finaliza periódicamente la presencia de cualquiera de los siguientes procesos pertenecientes a algunos cortafuegos y antivirus:

_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
anti-trojan.exe
apvxdwin.exe
autodown.exe
avconsol.exe
ave32.exe
avgctrl.exe
avkserv.exe
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avptc32.exe
avpupd.exe
avsched32.exe
avwin95.exe
avwupd32.exe
blackd.exe
blackice.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
cleaner.exe
cleaner3.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
esafe.exe
espwatch.exe
f-agnt95.exe
findviru.exe
fprot.exe
f-prot.exe
f-prot95.exe
fp-win.exe
frw.exe
f-stopw.exe
iamapp.exe
iamserv.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
jedi.exe
lockdown2000.exe
lookout.exe
luall.exe
moolive.exe
mpftray.exe
n32scanw.exe
navapw32.exe
navlu32.exe
navnt.exe
navw32.exe
navwnt.exe
nisum.exe
nmain.exe
normist.exe
nupgrade.exe
nvc95.exe
outpost.exe
padmin.exe
pavcl.exe
pavsched.exe
pavw.exe
pccwin98.exe
pcfwallicon.exe
persfw.exe
rav7.exe
rav7win.exe
rescue.exe
safeweb.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
serv95.exe
smc.exe
sphinx.exe
sweep95.exe
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
vet95.exe
vettray.exe
vscan40.exe
vsecomr.exe
vshwin32.exe
vsstat.exe
webscanx.exe
wfindv32.exe
zonealarm.exe

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (puede ayudarlo haber tomado el nombre de archivos del gusano borrados en pasos anteriores por el antivirus):

[al azar] = c:\windows\system\[nombre al azar].exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com