c:\windows\system\iexplorer.exe

Este archivo no es el verdadero Explorer, que se llama IEXPLORE.EXE (sin la "r" final), y generalmente se encuentra en Archivos de programa\Internet Explorer\.

El gusano también crea las siguientes entradas en el registro, para autoejecutarse en próximos reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
sysconfig = c:\windows\system\iexplorer.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
sysconfig = c:\windows\system\iexplorer.exe

NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Luego, el gusano queda "dormido" en memoria hasta que detecte una conexión a Internet activa. Cuando ello ocurre, intentará conectarse a un canal de IRC (Internet Relay Chat), usando este servidor:

irc.undernet.org

Utiliza un nombre de usuario (nick) y contraseñas predefinidos, para conectarse a un determinado canal.

Un atacante puede utilizar esta conexión para realizar en forma remota cualquiera de las siguientes acciones en la computadora infectada:

• Obtener lista de recursos compartidos en red
• Redireccionar puertos
• Realizar ataques del tipo FLOODING (literalmente inundar de información basura al servidor).
• Navegación remota por el Web
• Comandos IRC a otros usuarios
• Desconexión y deshabilitación del propio gusano
• Envío de información privada y del sistema al atacante
• Descarga y ejecución de archivos (por ejemplo, otros troyanos o gusanos)
• Actualización dinámica del propio gusano, agregando nuevas características
• Envío del gusano a otros canales de IRC para infectar otras computadoras
• Ejecución de la rutina de envío masivo vía e-mail

Esta última acción le permite enviarse a otros usuarios vía correo electrónico, a través de comandos ejecutados por el atacante. Las direcciones son especificadas por éste, quien puede utilizar una lista predefinida. De este modo, puede utilizar a sus víctimas para enviar correo masivo.

Los mensajes generados pueden tener este formato:

De: [nombre y dominios seleccionados de una lista]
Asunto: Hi, I sent you an eCard from BlueMountain.com
Datos adjuntos: BlueMountaineCard.pif (19,744 bytes)

Texto:

To view your eCard, open the attachment

If you have any comments or questions, please visit
http://www.bluemountain.com/customer/index.pd


Thanks for using BlueMountain.com.

El valor en el campo "De:", está formada con tres partes:

[nombre]+[dígitos]+[@dominio]

[nombre] es seleccionado de la siguiente lista:

Abeer
Adil
Ahlam
Ahmann
Ahmed
Aisha
Aites
Alanood
Alhanoof
Ali
Alona
Amal
Amani
Amerah
Amjaad
Amnah
Ardith
Areeg
Ariam
Arishi
Asfour
Asim
Audet
Aylor
Azizah
Bagni
Bakri
Barad
Blitz
Bloczynski
Boddie
Broman
Brownie
Bruckmeier
Bruckner
Buthaina
Cassavaugh
Cassin
Chiado
Chmiel
Darnel
Deema
Dena
Door
Douglas
Dueitt
Dulany
Eggler
Elbers
Emeli
Engl
Enslinger
Eslick
Fairooz
Faten
Fatmah
Friels
Gala
Galvin
Garrison
Ghada
Ginsburg
Godson
Gonda
Halla
Hanadi
Hanan
Hassan
Hind
Huda
Husain
Ibrahim
Irani
Jameelh
Jawaher
Jorn
Keyworth
Khadeja
Kranze
Lamia
Lauren
Layla
Liebeck
Lighthall
Lisa
Lola
Lolo
madani
Maha
majdah
Manal
Manikas
Maram
Maria
Mariam
Marzolf
McBee
McCline
McGlone
McIlwaine
Mennig
Mirick
Mohamad
Mona
Morthland
Muhaym
Munson
Najwa
Nareman
Nervis
Nickell
Nicodemus
Nobile
Noof
Noorh
Ogston
Osborne
Othman
Palmese
Parkman
Phillip
Pospishil
Puett
Rabab
Radzavich
Rania
Rasha
Rawan
Reda
Reem
Ritzie
Romanov
Salha
Salma
Salwa
Sameerh
Seidner
Selnes
Seo
Sherefa
Shilling
Siemonsma
Sillavan
Sleaford
Sonia
Spark
Speller
Steady
Steinberg
Stobbe
Sumaia
Sunshine
Suzan
Teuscher
Tille
Tkacik
Turcotte
Vanproosdy
Vernetti
Villao
Waeyaert
Wafa
Warfel
Yara
Yesra
Zabbo
Zahra
Zahrah
Zainab

En ocasiones, no siempre, se le agrega al nombre uno o más [dígitos]. Ej.:

Zainab23
Yara127

Como [@dominio] se selecciona uno de la siguiente lista:

msn.com
yahoo.com
Roadrunner.com
Earthlink.net
email.com

Para el envío a través del correo, utiliza su propia rutina SMTP, por lo que no depende del programa de correo instalado en la computadora infectada para propagarse.

El gusano también puede corromper algunos archivos del sistema cuando se propaga.


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\iexplorer.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

sysconfig

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

sysconfig

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com