Asunto: The last patch for Internet Explorer

Texto:
Date : [fecha actual] A lot of virus and worms use a bug in Internet Explorer This patch allows you to correct this problem

Archivo adjunto: ie042601.exe (8,192 bytes)

Si ejecutamos este adjunto en Windows 95, 98 o Me, el virus se esconde de la lista de tareas de Windows (CTRL+ALT+SUPR), utilizando llamadas al proceso RegisterServiceProcess. Bajo Windows NT y 2000 esto no funciona.

Luego, se copia a si mismo a esta carpeta:

C:\Windows\System\ie042601.exe

Para ejecutarse en cada reinicio de Windows, el gusano modifica el archivo WIN.INI, modificando esta línea:

[windows]
run=c:\windows\system\ie042601.exe

Luego libera los siguientes archivos:

C:\Script.ini
C:\Windows\Email.vbs
C:\Win.drv
C:\Windows\Wsock32.bat

Después, copia el archivo SCRIPT.INI (351 bytes) en estas carpetas (si existen y está instalado el programa de chat mIRC):

C:\Mirc\Script.ini 
C:\Mirc32\Script.ini

Esto hará que al conectarse a un canal de chat con el mIRC, sea enviado a otros usuarios del canal el archivo IE042601.EXE con el propio virus.

El archivo WSOCK32.BAT (445 bytes) contiene las instrucciones para ejecutar cada uno de los archivos liberados por el virus. El gusano espera en memoria que exista una conexión activa a Internet, e intenta conectarse al sitio www.yahoo.fr. Cuando la conexión se establece, se ejecuta el archivo WSOCK32.BAT.

Por su parte el archivo EMAIL.VBS (928 bytes) contiene el código en Visual Basic Script que le permite al virus su envío masivo a través del correo electrónico, usando el Outlook y Outlook Express. Este código es similar al del virus VBS.Newlove.A (ver VSantivirus No. 105 - 20/may/00 Virus: NewLove).

El gusano se envía a cada entrada de la libreta de direcciones de Windows, en un mensaje similar al ya descripto.

Finalmente, el archivo WIN.DRV (71 bytes) es un script de FTP que supuestamente debería descargar un archivo llamado Petik.bmp. Pero debido a un error en su código, esto no sucede. A pesar de ello, el virus intentará modificar el papel tapiz del escritorio por este archivo, a pesar de que el mismo no se descarga. Pero aún cuando se hiciera, esta acción tampoco funcionaría debido a otro error en el código.

Luego de esto, el virus intentará esconder cada archivo .BMP de la carpeta C:\Windows.

Para remover el virus de una máquina infectada, siga estos pasos:

Primero, ejecute un antivirus al día.

Luego, desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

Modifique la línea "run=" siguiente:

[windows]
run=c:\windows\system\ie042601.exe

La que debe quedar de este modo:

[windows]
run=

Luego, grabe los cambios y salga del bloc de notas.


Glosario:

(1) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

Ver también:
VSantivirus No. 105 - 20/may/00
Virus: NewLove


Fuente: Network Associates
(c) Video Soft - http://www.videosoft.net.uy