Asunto: Who controls you?
Texto: Stop your soul being controled! Get illuminated.
Datos adjuntos: Bat.soulcontrol.bat (138,203 bytes)

El gusano agrega el raíz de la unidad principal de disco duro a la lista de carpetas compartidas del KaZaa, y se copia a si mismo allí:

C:\Bat.soulcontrol.bat

Luego, intenta modificar los archivos de configuración de los programas de chat mIRC y pIRCh, los dos más populares entre los usuarios.

También puede enviarse a todos los contactos de la libreta del Outlook, así como borrar ciertos archivos.

Cuando el usuario abre el archivo adjunto, las siguientes acciones son iniciadas:

1. Se copia a si mismo como C:\bat.soulcontrol.bat. También intenta copiarse a cualquier disquete que estuviera en la unidad A:

2. Crea también los siguientes archivos:

C:\Run.bat (3,443 bytes) 
C:\Cr.vbs (454 bytes) 
C:\Soulcontrol.jpg (32,966 bytes) 
C:\Pl.bat (54 bytes)

C:\Run.bat - Es un archivo de proceso por lotes encriptado. No contiene una rutina de auto desencriptación, por lo que no puede ejecutarse por si solo.

C:\Cr.vbs - Es un script de Visual Basic que contiene la rutina de desencriptación para acceder al RUN.BAT, y no posee ningún tipo de código viral.

C:\Soulcontrol.jpg - Es un verdadero archivo de imagen, totalmente limpio.

C:\Pl.bat - Contiene la rutina para mostrar en pantalla la imagen anterior.

Ninguno de estos archivos son detectados como virus, ya que no poseen rutinas de ese tipo (y RUN.BAT está encriptado). Es recomendable su borrado manualmente en caso de infección.

3. El gusano ejecuta CR.VBS para desencriptar a RUN.VBS y luego ejecuta a este último.

RUN.BAT contiene las rutinas que propagan el virus a través del correo electrónico, y de los clientes de IRC, mIRC y pIRCh.

Cuando el archivo RUN.BAT es desencriptado, los antivirus suelen reconocerlo como virus (BAT/Eversaw.B, BAT/Eversaw.B@mm, etc.).

El mensaje enviado por correo electrónico a toda la libreta de direcciones, es igual al descripto antes.

También modifica los archivos de configuración del mIRC y del pIRCh para enviar a usuarios conectados a los mismos canales del usuario infectado, el archivo BAT.SOULCONTROL.BAT, que es una copia del gusano (como la adjunta a los mensajes infectados).

4. El gusano agrega la raíz del disco C a la lista de carpetas compartidas del KaZaa modificando la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir0 012345:c:\

Esto no solo habilita a que cualquier otro usuario que comparta la red KaZaa baje el archivo C:\BAT.SOULCONTROL.BAT, sino que también puede descargar cualquier otro archivo que el usuario infectado tenga allí.

5. El gusano borra los siguientes archivos:

C:\Programme\Norton~1\S32integ.Dll 
C:\Programme\F-Prot95\Fpwm32.Dll 
C:\Programme\Mcafee\Scan.Dat 
C:\Tbavw95\Tbscan.Sig 
C:\Programme\Tbav\Tbav.Dat 
C:\Tbav\Tbav.Dat 
C:\Programme\Avpersonal\Antivir.Vdf 
C:\Mirc\Script.Ini 
C:\Mirc32\Script.Ini 
C:\Progra~1\Mirc\Script.Ini 
C:\Progra~1\Mirc32\Script.Ini 
C:\Pirch98\Events.Ini

6. El virus modifica el archivo C:\WIN.INI con los siguientes parámetros bajo la etiqueta [Windows], para ejecutar C:\BAT.SOULCONTROL.BAT en cada reinicio:

[windows]
load = c:\bat.soulcontrol.bat

7. También modifica el registro para mostrar una imagen en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msg = c:\pl.bat

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Repare los archivos detectados como infectados

5. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\Bat.soulcontrol.bat
C:\Run.bat
C:\Cr.vbs
C:\Soulcontrol.jpg
C:\Pl.bat

6. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

msg

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

11. Si existe la referencia a C:\BAT.SOULCONTROL.BAT en la línea "load=" bajo la sección [windows], bórrelo.

Por ejemplo:

[windows]
load= c:\bat.soulcontrol.bat

Debe quedar como:

[Windows]
load=

12. Grabe los cambios y salga del bloc de notas.

13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

14. Cambie la configuración de la utilidad KaZaa, y reinstale o recupere los archivos borrados por el gusano, según la lista descripta antes.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com