Asunto: Which pub in Singapore is the best in the world?
Texto del mensaje: Read me to find out!!!
Datos adjuntos: reame.TXT.bat

Note, además de la doble extensión, que el adjunto es REAME y no README.

El gusano también sobrescribe archivos con las extensiones .REG, .VBS, .BAT, y .LNK en el directorio actual de ejecución, el directorio anterior y el directorio de Windows. Intenta sobrescribir archivos .PIF pero falla.

También copia sus componentes en todos los directorios que incluya la variable PATH (por defecto "C:\Windows" y "C:\Windows\Command", teniendo en cuenta que "C:\Windows" puede variar de acuerdo a la versión de Windows instalada: "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).

Cuando el usuario hace doble clic sobre el adjunto, el gusano se copia a si mismo en el directorio en que se ejecutó con el nombre de "I_Love_Chinablack.BAT".

También se crean los siguientes archivos:

[varios directorios]\China.reg
[varios directorios]\China_hunks.vbs
[varios directorios]\China_ladies.bat
[varios directorios]\Chinaboys_loves_china.vbs
[varios directorios]\I_Love_Chinablack.bat
[varios directorios]\Pif.pif
[varios directorios]\Vbs.lnk
C:\I_love_china_black_at_pacific_plaza\Chinaboy.jpg.bat
C:\Reame.txt.bat
C:\Reame.txt.vbs
C:\Windows\China_babes.bat
C:\Windows\China_boys.bat
C:\Windows\China_china_china.bat
C:\Windows\China_girls.bat
C:\Windows\China_ladies.bat
C:\Windows\Chinaboy_rulez.bat
C:\Windows\Chinaboy_rulez.vbs
C:\Windows\Chinaboy_rulez_chinablack.vbs
C:\Windows\Chinaboys_loves_china.bat
C:\Windows\Menú Inicio\Programas\Inicio\China_males.bat

El gusano examina el registro para averiguar si está instalado el cliente de chat mIRC, a los efectos de propagarse en los canales compartidos por la víctima.

Si localiza el programa, crea o modifica el archivo SCRIPT.INI para agregar las instrucciones que permiten enviar sus copias infectadas.

Otra de sus rutinas intenta el borrado de archivos pertenecientes a conocidos antivirus:

C:\progra~1\kasper~1\avp32.exe
C:\progra~1\norton~1\*.exe
C:\progra~1\trojan~1\tc.exe
C:\progra~1\norton~1\s32integ.dll
C:\progra~1\fprot95\fpw32.dll
C:\progra~1\mcafee\scan.dat
C:\progra~1\tbav\tbav.dat
C:\progra~1\avpersonal\antivir.vdf
C:\tbavw95\tbscan.sig

También borra varias aplicaciones de Norton. Finalmente el gusano muestra el siguiente mensaje después de borrar los componentes indicados:

ChinaBlack rulez in Singapore!!!

El gusano utiliza diferentes métodos para ejecutarse cada vez que Windows se reinicia.

Primero, se copia a si mismo como "China_girls.bat" en la carpeta de Windows y crea la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
chinablackblackblack = C:\Windows\china_girls.bat

Crea también una copia de si mismo en la carpeta de inicio de Windows:

C:\Windows\Menú Inicio\Programas\Inicio\China_males.bat

Modifica SYSTEM.INI, agregando la siguiente entrada bajo la etiqueta [boot]:

[boot]
shell=Explorer.exe C:\Windows\china_china_china.bat

Utilizando el archivo "C:\Reame.txt.bat", ejecuta el script de Visual Basic "C:\Reame.txt.vbs" que contiene el código para propagarse a todos los contactos de la libreta de direcciones en un mensaje como el ya descripto, con el propio gusano como adjunto (Reame.txt.bat).

El gusano también crea la carpeta "I_love_china_black_at_pacific_plaza" en C:\Windows y copia allí el archivo "Chinaboy.jpg.bat". Este componente busca la existencia del archivo SCRIPT.INI en las siguientes ubicaciones:

C:\mirc
C:\mirc32
C:\progra~1\mirc
C:\progra~1\mirc32

Si lo encuentra, le agrega a dicho archivo las instrucciones necesarias para enviar la copia del gusano "Chinaboy.jpg.bat" a todos los que participen en los mismos canales de IRC que visite la víctima.

Como vimos, el gusano también es capaz de sobrescribir archivos con las siguientes extensiones:

.REG
.VBS
.BAT
.LNK

Para infectar los archivos .REG (archivos del registro), el gusano usa el componente "China_babes.bat" en el directorio de Windows. Directamente suplanta todos los archivos .REG en el directorio actual y en todos los indicados en la variable PATH por el contenido de "China.reg". Este REG agrega al registro las instrucciones para cargar el archivo "China_babes.bat" al iniciarse Windows.

Para infectar los archivos .VBS (Visual Basic Script), usa el componente "China_boys.bat" en el directorio de Windows. Esta acción suplanta todos los archivos .VBS en el directorio actual y en todos los indicados en la variable PATH por el contenido del archivo "China_hunks.vbs". Este archivo tiene el script que ejecuta "China_boys.bat" y que se encarga del envío del gusano a través del correo electrónico.

Para infectar los archivos .BAT (batch files o archivos de procesos por lote), el gusano usa el componente "China_ladies.bat" en el directorio de Windows. Este busca y suplanta todos los archivos .BAT en el directorio actual y en todos los indicados en la variable PATH por el contenido de su archivo "China_ladies.bat".

Para infectar los archivos .LNK (accesos directos), el gusano usa el componente "Chinaboy_rulez.bat" en el directorio de Windows. Este ejecuta a su vez al script "Chinaboy_rulez.vbs", el cuál usa el archivo "Chinaboy_rulez_chinablack.vbs" que crea el archivo "Vbs.lnk", un acceso directo al archivo "Chinaboy_rulez.vbs". "Vbs.lnk" sobrescribe a todos los archivos .LNK en el directorio actual y en todos los indicados en la variable PATH.

También intenta infectar los archivos .PIF (Windows Program Information), para ello usa el componente "Chinaboys_loves_china.bat" en el directorio de Windows. Este ejecuta a su vez al script "Chinaboys_loves_china.vbs", que crea un archivo "Pif.pif". Este archivo es un enlace directo a "Chinaboys_loves_china.bat". A su vez, éste intenta suplantar todos los archivos .PIF en el directorio actual y en todos los indicados en la variable PATH por el contenido de su archivo "Pif.pif", pero falla debido a un error en su código.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

chinablackblackblack

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Editar el archivo SYSTEM.INI

1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Busque lo siguiente:

[boot]
shell=Explorer.exe C:\Windows\china_china_china.bat

y déjelo así:

[boot]
shell=Explorer.exe

3. Grabe los cambios y salga del bloc de notas

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com