C:\Windows\WIN64.INI

Solo una instancia del gusano permanece en memoria (si se vuelve a ejecutar un archivo infectado mientras el virus ya esté en memoria, simplemente se desecha). Para ello crea y utiliza un mutex (ver Glosario), llamado "IEXPLORE_MUTEX_AABBCCDDEEFF".

A diferencia de sus predecesores, esta versión carece de su propio servidor SMTP (Simple Mail Transfer Protocol). El colecciona las direcciones de archivos encontrados en los temporales de Internet, y luego envía dichos datos a los siguientes sitios Web:

http://24.24.128.16/b.cgi
http://63.231.167.66/b.cgi 
http://12.252.211.170/b.cgi 
http://208.38.78.170/b.cgi 
http://24.138.50.99/b.cgi 
http://195.62.140.165/b.cgi 
http://66.30.61.197/b.cgi 
http://159.148.235.130/b.cgi 
http://24.25.173.139/b.cgi 
http://204.196.162.232/b.cgi 
http://12.100.95.170/b.cgi 
http://209.192.135.22/b.cgi 
http://140.158.208.7/b.cgi 
http://24.143.31.189/b.cgi 
http://204.196.76.242/b.cgi 
http://129.120.117.218/b.cgi 
http://216.177.6.60/b.cgi 
http://63.71.246.234/b.cgi 
http://209.225.158.157/b.cgi 
http://143.111.86.30/b.cgi 
http://68.69.53.36/b.cgi 
http://206.45.142.72/b.cgi 
http://216.79.52.220/b.cgi 
http://64.2.158.241/b.cgi 
http://209.240.83.22/b.cgi 
http://207.171.103.126/b.cgi 
http://217.199.112.38/b.cgi 
http://128.143.58.69/b.cgi 
http://209.245.172.159/b.cgi

Eliminación manual del virus

Para eliminar el gusano de un sistema infectado, actualice sus antivirus y realice un escaneo de sus discos.

Para detener el proceso del virus en memoria, en Windows 9x y Me, pulse CTRL+ALT+SUPR.

En Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

En ambos casos, en la lista de tareas, señale la que se llame SETUP o SETUP.EXE y seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

Borre los archivos detectados como pertenecientes al gusano.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 693 - 31/may/02
W32/Frethem.A (Win64.A). Simula enlace a un sitio Web
http://www.vsantivirus.com/freedesktop.htm


Glosario:

MUTEX - Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Un caso concreto: si un mutex determinado (puede haber uno diferente para cada programa) está en memoria, el programa al que le corresponda ese mutex, asume que existe una sesión anterior de él mismo ejecutándose actualmente, negándose por lo tanto a hacerlo por segunda vez. Esto previene la múltiple carga del programa en memoria.

ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com