Asunto: Su computadora es un Zombi?
Datos adjuntos: PcZombi.html

Texto del mensaje:
Debido al reciente ataque a los servidores
raiz DNS de la red, el FBI a determinado q' tan solo
en EEUU, hay 80.000 computadoras zombis.
Zombis se aplica a las Pc, afectadas por un RAT
(Troyano de Acceso Remoto), q' a diferencia de virus
y gusanos no dan sintomas, por lo que la mayoria de
usuarios desconoce que sus Pc estan infectadas y
siendo accedidas para robar informacion o lanzar
ataques a otras maquinas.
Como saber si su computadora esta infectada con
un RAT, en la pagina adjunta.
www.gratisweb.com/machinedramon1/gaghiel.html

Versión 2:

Asunto: Windows y Osama Ben Laden
Datos adjuntos: RAT seguridad.html

Texto del mensaje:
Debido a las recientes declaraciones de
un mienbro de Al-Qaida(Red de Ben Laden), de que
infiltrados entre los tecnicos de Microsoft, abri
an, incluido dentro del codigo de algunas versio
nes Windows, una Puerta Trasera(Troyano), para
poder acceder a las maquinas y robar informacion
o usarlas para un ataque coordinado.
Aunque Microsoft a negado esto, el FBI investiga
y agencias como la CIA, han cambiado los sistemas
de sus PCs, para evitar un ataque.
Como saber si su Pc esta afectada en la pagina
adjunta
www.gratisweb.com/machinedramon1/gaghiel.html

Versión 3:

Asunto: Te envio la info que me pediste
Datos adjuntos: InformacionCuentas.html

Texto del mensaje:
Hola, se me perdio el papel q' me
diste con tu mail, ojala no me haya equivocado al
escribirla.
Te envio la info q' me pediste(confidencial)
Reenviame la direccion de tu mail, saludame a
Raúl y despideme de Patty. Adios
www.gratisweb.com/machinedramon/gaghiel.html

Versión 4:

Asunto: VirtualLetter
Datos adjuntos: VirtualLetter.html

Texto del mensaje:
Una targeta virtual le ha sido enviada
desde esta direccion de correo.
los datos del remitente de la targeta y donde
verla, en la pagina adjunta.
Tiene 7 dias a partir de hoy, para ver o descar
gar su targeta antes de que sea borrada
VirtualLetter, un servicio de LatinRed
Email enviado sin acentos
www.gratisweb.com/machinedramon/gaghiel.html

Versión 5:

Asunto: Sexalud
Datos adjuntos: Sexalud.html

Texto del mensaje:
Sexalud,la pagina de Terra para resolver
tus dudas de sexualidad.
Visitanos en www.terra.com.pe/sexalud
Un Test para saber si eres buen(a) amante en la
pagina adjunta
www.gratisweb.com/machinedramon/gaghiel.html

El archivo adjunto ocupa siempre 54,680 bytes. Cuando el usuario abre este adjunto, se abre el Internet Explorer, la barra del título muestra el texto "Naria y Erya" y en la ventana del navegador se muestra este mensaje:

Gaghiel
Error Cargando : 2015

Luego, Windows muestra su ventana de advertencia sobre el uso de archivos ActiveX:

Internet Explorer

Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?

[    Si    ] [    No    ]

Si se selecciona el botón [Si], el gusano crea el siguiente archivo:

C:\Windows\System\Gaghiel.vbs  (24,712 bytes)

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Luego, el gusano agrega dicho archivo al registro, para autoejecutarlo en cada nuevo reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Gaghiel = C:\Windows\System\Gaghiel.vbs

También crea la siguiente entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Domain Manager
Gaghiel = C:\Windows\System\Gaghiel.vbs

Después, el gusano muestra el siguiente mensaje de error falso, cuando el virus ya se ha instalado:

Microsoft Internet Explorer

Error 13
Esta Pagina Requiere Controles ActiveX
para ser mostrada en su totalidad
Presione Actualizar y Acepte

[    Aceptar    ]

Cuando el gusano se vuelva a ejecutar (desde "Gaghiel.vbs"), creará los siguientes archivos:

C:\Windows\Gaghiel.html
C:\Windows\System\AngeldelMar.html
C:\Windows\TEMP\PcZombi.html
C:\Windows\TEMP\RAT seguridad.html
C:\Windows\TEMP\InformacionCuentas.html
C:\Windows\TEMP\VirtualLetter.html
C:\Windows\TEMP\Sexalud.html

El primero de estos archivos (Gaghiel.html), tiene un tamaño de 37,524 bytes, y los restantes 54,680 bytes cada uno, idénticos a los recibidos vía e-mail, ya que de hecho son copias del mismo.

Después, sobrescribe todos los archivos .VBS de todas las carpetas y discos, menos de cada raíz (si hubieran allí archivos .VBS)

Luego, busca archivos con las siguientes extensiones (en todos los discos y directorios excepto los raíces):

.asp
.hta
.htm
.html
.msconfig
.php
.phtm
.phtml
.plg
.regedb32
.sfc
.shtm
.shtml

Si los archivos encontrados no están ya infectados, agrega a los mismos su script. Al principio de cada archivo infectado agrega el texto "Gaghiel" como marca de infección. Los archivos infectados aumentan su tamaño en 54,588 bytes.

Los mismos archivos pueden llegar a ser borrados por el gusano.

Si la fecha actual es posterior al día 25 de cualquier mes, modifica la página de inicio del Internet Explorer para que se abra en determinado sitio Web. Para ello, cambia la siguiente rama del registro:

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page =
http://www.gratisweb.com/machinedramon1/sachiel.jpg.scr

La página ya no existe.

Si la suma del día y el mes es igual a 30 (29/1, 28/2, 27/3, 26/4, 25/5, 24/6, 23/7, 22/8, 21/9, 20/10, 19/11 y 18/12), el gusano muestra una ventana con el siguiente mensaje:

VBScript: Gaghiel

Oracion antes de entrar al internet:

Satelite nuestro que estas en el cielo,
Acelerado sea tu link,
Venga a nosotros tu hipertexto,
Hagase tu conexion en lo real como en lo virtual
Danos hoy el download de cada dia,
Perdona el cafe en el Teclado,
Asi como nosotros perdonamos a nuestros proveedores,
No nos dejes caer la conexion,
Y libranos de todo Virus,
En nombre del Server, del Modem y del santo User-name.
Log-in

GEDZAC LABS 2002
VBS/Gaghiel by MachineDramon
Hecho en el Perú, Calidad Mundial
Sachiel2015@latinmail.com

[    Aceptar    ]

El gusano se envía a toda la libreta de direcciones, en mensajes como los ya descriptos.

Si existe en la computadora infectada el archivo "Mirc32.exe" o "Mirc.ini" (o sea el cliente para chat, mIRC), el gusano crea el archivo "Chanel.hlp" (2,842 bytes), en la misma carpeta donde se encuentre el programa.

Por medio de ese archivo, el gusano puede enviarse a si mismo a otros usuarios conectados a los mismos canales de IRC.

En las computadoras que lo tengan (de acuerdo a la versión de Windows instalada), el virus borra los siguientes archivos:

Msconfig.exe
Regedit.exe
Sfc.exe

Reparación manual

1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\Gaghiel.html
C:\Windows\System\AngeldelMar.html
C:\Windows\System\Gaghiel.vbs
C:\Windows\TEMP\PcZombi.html
C:\Windows\TEMP\RAT seguridad.html
C:\Windows\TEMP\InformacionCuentas.html
C:\Windows\TEMP\VirtualLetter.html
C:\Windows\TEMP\Sexalud.html

En la carpeta donde esté instalado el mIRC borre estos archivos:

Mirc.ini
Chanel.hlp

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Cómo recuperar REGEDIT.EXE, MSCONFIG.EXE, SFC.EXE

Si el componente .VBS se ha ejecutado, estos archivos habrán sido borrados. Para quitar el gusano del registro, es necesario la presencia al menos del editor REGEDIT.EXE, por lo que deberá ser reinstalado o recuperado de un respaldo anterior (examine la documentación de su sistema operativo o acuda a un técnico competente que le ayude a resolver el problema sin perder datos valiosos de su computadora).


Editar el registro (si ya recuperó REGEDIT.EXE)

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Gaghiel

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run Domain Manager

5. Pinche en la carpeta "Run Domain Manager " y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional
Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Procedimiento para restaurar página de inicio

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Pinche en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Pinche en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Pinche en "Aceptar".


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com