Asunto: Some One Looking for you!
Datos adjuntos: Fc.exe (18,432 bytes)

Texto del mensaje:
How to get a money in one days bussiness?
The answer is inside the attachment.

Cuando el adjunto es ejecutado, el gusano examina la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders

De allí extrae la ubicación de las siguientes carpetas:

AppData = C:\WINDOWS\Application Data
Local AppData = C:\WINDOWS\Application Data
Startup = C:\WINDOWS\Menú Inicio\Programas\Inicio

De acuerdo a ello se copia en las siguientes ubicaciones:

C:\WINDOWS\Application Data\Runfc.exe
C:\WINDOWS\Menú Inicio\Programas\Inicio\FatCat.exe

En el primer caso (Runfc.exe), el archivo es creado con los atributos de oculto (+H) y del sistema (+S).

Nota: En el ejemplo se muestran las carpetas por defecto de un Windows 98 o Me, pero ello varía en otros Windows, o en Windows con otros idiomas, por esa razón el gusano saca esos valores del registro.

También agrega la siguiente clave en el registro, para autoejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
FC = C:\WINDOWS\Application Data\Runfc.exe

También puede copiarse en la carpeta de instalación de Windows con el nombre de "Fc.exe".

Busca en la siguiente clave la carpeta de descarga por defecto del Internet Explorer:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
Download Directory = [la carpeta elegida por el usuario]

Entonces se copia en dicha carpeta con los siguientes nombres (entre otros):

Bugbear solution.mpg
Estimate.mp4
Flash animation.swf
Ghostreacon.avi
Hackers description.doc
Happynewyear.jpg
HOW TO BLOCK AN EMAIL THAT CONTAIN A VIRUS.txt
Rice and curry.mp3
Run in the sky.mov
What and who.gif

Busca el valor de la página de inicio del Internet Explorer en la siguiente clave:

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = [página de inicio seleccionada]

Y la cambia por la siguiente:

Start Page = http://vx.netlux.org/~melhacker/fc.exe

En determinadas ocasiones, el gusano puede borrar los archivos que corresponden al registro de Windows (en Windows 9x y Me):

C:\Windows\System.dat
C:\Windows\User.dat
C:\Windows\System.da0
C:\Windows\User.da0

Esto ocasiona la imposibilidad de volver a reiniciar Windows, sin restaurar los archivos borrados o reinstalándolo.

El gusano busca en memoria, y finaliza la ejecución, de cualquier proceso activo con los siguientes nombres:

_Avp32.exe
_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Anti -Trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
f-Agnt95.exe
Findviru.exe
f-Prot.exe
Fprot.exe
f-Prot95.exe
Fp-Win.exe
Frw.exe
f-Stopw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Tds2-Nt.exe
VControl.EXE
Vet95.exe
Vettray.exe
Vscan40.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe

Estos procesos corresponden a conocidos programas antivirus, así como a otras utilidades de seguridad, como cortafuegos.

Luego de todo esos procesos, el gusano se envía a toda la libreta de direcciones, en mensajes como el descripto al comienzo.


Reparación manual

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

En el caso de que se hayan borrado los archivos del registro, estos deberán ser copiados de un respaldo anterior, o se deberá proceder a reinstalar Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

FC

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
10/ene/03 - Alias: W32.Campurf@mm, W32/Fatcat.A, WORM_FATCAT.A
10/ene/03 - Alias: FATCAT, W32/FatCat@MM, Win32/Fatcat.A@mm
10/ene/03 - Alias: Win32.Campurf.A worm, CAMPURF



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com