Asunto: FWD : "Nuevo Mp3 de Bill gates!"

Texto:

Hola
He escuchado la cancion de Bill gates
y me dio mucha risa.
es mejor que se quede con la informatica
porque con la musica ni por el putas
Escuchala para que tu tambien compartas este sentimiento.
Disfrutalo.

Datos adjuntos: Iloveyoulaura.chm

Cuando el usuario ejecuta este adjunto, se crean uno o dos archivos (dependiendo exista el cliente mIRC en la máquina atacada o no).

Si existe, se generan los archivos Iloveyoulaura.chm y Script.ini. Si no hay cliente de IRC, el segundo archivo no se crea.

Los siguientes cambios son hechos en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion
Chm = "1"

Para propagarse a través del IRC (Internet Relay Chat), el gusano crea un archivo SCRIPT.INI, donde coloca los comandos para enviarse a otros usuarios conectados al mismo canal donde se conecte la víctima.

Cuando el usuario ejecuta el archivo .CHM por primera vez, una advertencia de Windows es desplegada:

Internet Explorer

Un control ActiveX de esta página podría no ser seguro
al interactuar con otras partes de la página. ¿Desea
permitir esta interacción?

[    Si    ] [    No    ]

Seleccionando [ No ], el gusano no se ejecutará, ni afectará ningún archivo de la computadora infectada.

Si la respuesta fue [ Si ], el gusano busca la presencia del archivo MIRC.INI, usado para la configuración del programa cliente de chat, mIRC.

El gusano también se copia con el nombre de Iloveyoulaura.chm en el directorio de Windows.

C:\Windows\Iloveyoulaura.chm

El primer mensaje mostrado en el visor de archivos de ayuda HTML, instalado en todas las versiones actuales de Windows con Internet Explorer, muestra la siguiente leyenda bajo un fondo negro:

Debes permitir el Active X para escuchar el MP3 del Bill Gates

Bill Gates deja la informática y entra al mundo de la música!!!
Escucha su canción aquí

Luego muestra una serie de ventanas, todas con el título "VBScript: iloveYoulAura (r)" y el botón [ Aceptar ]:

1.
Lashuellasdelpasado.mp3
Debes permitir la interacción
Active X para escuchar la canción.
Vuelve a intentarlo

2.
18 de Mayo, Ke grAn feCha, pero tú
no lo entiendes
~Kedate con ese hijo de pUta Jairito,y
busca en el lo que no encontraste en mi

3.
Otra De mIs loKuras por Vos, No imPOrt@
est@ es la ultimA, Trankila

4.
...::: DedikAdo A ella, Laura Alzate Zapata:::...
Aunque Ya No me kieras, Tu si eStas En un Rincon De mi koraZon
By : ZteB@N and Kuasanagui Korp 2002 (c)
Ese Mansito Que te Kizo Tanto

5.
Gracias Kuasanagui, gracias por todo

Finalmente muestra una ventana del visor de ayudas, con algún texto y la foto de una pareja, en una ventana de la ayuda de Windows, bajo el título "HTML Help":

18 de Mayo ke Gran Fecha

Porque hoy hace un año eras mi Todo,
y Eso FuE Lo Mejor!!

[etc...]

Limpieza de un sistema infectado

Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el gusano.

Si ha recibido el gusano a través del correo electrónico o de un canal de IRC, elimine el mensaje de la bandeja de entrada y de la bandeja de elementos eliminados.

Ninguna otra acción es requerida (la modificación del registro hecha por el gusano es conveniente conservarla, ya que hace la veces de vacuna).

Notas

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com