Cuando se ejecuta, crea los siguientes archivos en los equipos infectados:

c:\log.vbs
c:\windows\wshell.exe

El archivo LOG.VBS contiene la rutina que intenta obtener direcciones electrónicas del sistema, pero parece no funcionar correctamente.

WSHELL.EXE es una copia del gusano propiamente dicha.

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea la siguiente carpeta:

C:\$_8322_3_GEDZAC_82635_FRIENDLYTEARS_(ByT3Cr0W)_24

Modifica el registro de Windows, creando las siguientes entradas, la primera para autoejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinLogOn = c:\windows\wshell.exe

HKCU\GEDZAC\FriendlyTear\

El gusano llama la ventana de apagado de Windows, en un intento de hacer que el usuario reinicie su computadora. Al reiniciarse, el gusano crea varios hilos de ejecución para llevar a cabo sus distintas acciones.

El gusano utiliza LOG.VBS para buscar direcciones electrónicas en el caché del Internet Explorer o en los registros del MSNmessenger.

Evita enviarse a direcciones que contengan las siguientes cadenas en sus nombres:

anon
anti
archive
hotma
kasper
micro
norman
panda
per
sopho
videosoft
virus

El gusano utiliza diferentes mensajes para propagarse, aunque esta rutina, como vimos antes, puede no funcionar en todos los casos.

Ejemplo 1:

Asunto: ¿Somos los mejores amigos?

Datos adjuntos: Amigos-Test.pif

Texto del mensaje:
Acaso somos los mejores amigos? tu crees?
vamos a ver ;)

Asunto: Adivinaa que!!

Datos adjuntos: foto.pif

Texto del mensaje:
siiiiiii!! estoy aqui!! tanto tiempo esperandoo!!

Ejemplo 3:

Asunto: Can i Ask you a question? ;)

Datos adjuntos: something.pif

Texto del mensaje:
i really want to ask you something...;)

Ejemplo 4:

Asunto: comprendeme porfavor...

Datos adjuntos: ayuda.pif

Texto del mensaje:
en estos momentos no m siento muy bien y las cosas no
estan muy claras...ayudame porfavor :(

Ejemplo 5:

Asunto: creo que te amo

Datos adjuntos: solo.pif

Texto del mensaje:
no se como paso..pero no puedo comprender muchas 
cosas...solo..solo..

Ejemplo 6:

Asunto: GUESS WHAT!!

Datos adjuntos: map23.pif

Texto del mensaje:
Guess what! yes i am here!! i wait a long time just for 
come here with you! ;)

Ejemplo 7:

Asunto: Hola amigo!!

Datos adjuntos: friends.pif

Texto del mensaje:
TQM nunk te olvidare

Asunto: I LOVE YOU!! YOU KNOW?! ;)

Datos adjuntos: LetMeLoveYou.pif

Texto del mensaje:
i love you, i love you, i love you!!

Ejemplo 9:

Asunto: i think i love you

Datos adjuntos: just.pif

Texto del mensaje:
i just.. i just... i cant wait..i have toy say you 
this..

Ejemplo 10:

Asunto: Puedo hacerte una pregunta?

Datos adjuntos: MiPregunta.pif

Texto del mensaje:
de verdad nesecito hacerte una pregunta...;)

Ejemplo 11:

Asunto: Te Amo lo sabias?

Datos adjuntos: TeAmo.pif

Texto del mensaje:
Te amo, Te Amo, Te amo!!

El gusano intenta también propagarse por redes P2P, copiandose con diferentes nombres en las siguientes carpetas (si existen):

\edonkey2000\incoming\
\gnucleus\downloads\
\Grokster\My Grokster\
\icq\shared files\
\kazaa lite\My Shared Folder\
\KaZaA\My Shared Folder\
\KMD\My Shared Folder\
\limewire\shared\
\morpheus\my shared folder\
\Overnet\Incoming\
\Rapigator\Share\
\Tesla\Files\
\WinMX\My Shared Folder\
\XoloX\Downloads\

Estas carpetas las busca en la carpeta de archivos de programas (en Windows en español suele ser "C:\Archivos de programa"), dato que obtiene de la siguiente entrada del registro:

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\ProgramFilesDir

Ad-Aware.exe
DivX Player (with DivX Codec) .exe
Download Accelerator Plus.exe
ICQ 4.exe
ICQ Pro 2003b.exe
iMesh.exe
RealPlayer.exe
Spybot - Search & Destroy.exe
WinRAR.exe
WinZip.exe

El gusano puede infectar archivos ejecutables en el raíz de la unidad C:.

El gusano también examina todas las unidades de la A a la Z, intentando copiarse como WINSERVICES.EXE en los siguientes directorios:

\
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\WINDOWS\Menú inicio\Programas\Inicio\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

También intenta copiarse en la unidad de disquete A, con los siguientes nombres:

A:\Just for you.pif
A:\Solo Para ti.pif

El gusano sobrescribe el archivo HOSTS de Windows, para impedir que los usuarios accedan a los siguientes sitios de Internet (esto incluye páginas de actualización de varios antivirus):

downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
kaspersky.com
kav.com
pandasoftware.com
pandasoftware.es
perantivirus.com
u2.eset.com
u3.eset.com
u4.eset.com

El archivo HOSTS (sin extensión alguna), es usado por Windows para asociar nombres de dominio con direcciones IP. Si este archivo existe en c:\windows\ (Windows 95, 98 y Me), o en \system32\drivers\etc\ (Windows NT, 2000 y XP), el sistema lo examina antes de hacer una consulta a un servidor de nombres (DNS).

El gusano intenta cerrar todas las ventanas que contengan la siguiente cadena:

Kaspersky Anti-Virus Scanner

También intenta cerrar el TASKMGR.EXE (el administrador de tareas en Windows XP y 2000).

El gusano puede mostrar alguno de los siguientes mensajes:

be happy smile!

Because someday you will not be happy
and may your world falls down...

:) - FriendlyTear by Byt3Cr0w/GEDZAC -
hi BlackRose ;) - :)

Reparación manual

IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección.


Deshabilitar las carpetas compartidas de programas P2P

Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.

Para ello, siga las instrucciones del siguiente artículo:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Repare (*) los archivos detectados como infectados

(*) Algunos archivos del virus solo podrán ser borrados


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

WinLogOn

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\GEDZAC

5. Pinche en la carpeta "GEDZAC" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1   localhost

4. Acepte guardar los cambios al salir del bloc de notas.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com