Asunto: RE: i urgently need files for my computer

Texto:
 ….. really? Here are some useful files... enjoy...

Datos adjuntos:
modembooster.exe, keygen.com, chain.eml, mystique.scr, readme.pif

Cada mensaje posee los 5 adjuntos. Cuando se ejecutan, el gusano procede a copiarlos a las siguientes ubicaciones:

C:\MYSTIQUE.SCR
C:\MODEMBOOSTER.EXE
C:\KEYGEN.COM
C:\README.PIF
C:\CHAIN.EML
C:\PORNO.SCR
C:\Windows\TEMP\MYSTIQUE.SCR
C:\Windows\TEMP\MODEMBOOSTER.EXE
C:\Windows\TEMP\KEYGEN.COM
C:\Windows\TEMP\README.PIF
C:\Windows\TEMP\CHAIN.EML
C:\Windows\TEMP\PORNO.SCR

El archivo CHAIN.EML es a su vez otro mensaje que contiene una copia del gusano como adjunto. Estos son sus detalles:

Asunto: A Lucky Chain Letter

Texto:
Pass this to your friends and you’ll be lucky
tomorrow... - the karma guru

Datos adjuntos: charm.exe

El gusano crea una carpeta IE6 en el directorio raíz de la unidad de inicio (C:), y se copia a si mismo con el nombre de OFFLINE.EXE en ella:

C:\IE6\OFFLINE.EXE

También crea un directorio SYSM486 como subdirectorio de Windows, y allí crea los siguientes archivos:

C:\Windows\SYSM486\SWAP486.COM
C:\Windows\SYSM486\PTWEAK.CO_

Luego, modifica el registro para autoejecutarse en cada nuevo reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*swap486 = C:\Windows\sysm486\swap486.com

El gusano también despliega una ventana de mensajes en cada ejecución.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por W32/Dena.A

4. Con el Explorador de Windows, borre los siguientes archivos y carpetas (si aparecen):

C:\MYSTIQUE.SCR
C:\MODEMBOOSTER.EXE
C:\KEYGEN.COM
C:\README.PIF
C:\CHAIN.EML
C:\PORNO.SCR
C:\Windows\TEMP\MYSTIQUE.SCR
C:\Windows\TEMP\MODEMBOOSTER.EXE
C:\Windows\TEMP\KEYGEN.COM
C:\Windows\TEMP\README.PIF
C:\Windows\TEMP\CHAIN.EML
C:\Windows\TEMP\PORNO.SCR
C:\IE6\
C:\Windows\SYSM486\

5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

7. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

*swap486        C:\Windows\sysm486\swap486.com

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com