Asunto: Advertencia de Envio Spam
Datos adjuntos: Informe2-p.hta (41,7 KB)

Texto:
Su Cuenta ha sido denunciada por el envio de Spam(Correo no Deseado). De repetirse la situación se procederá a la clausura de su cuenta de e-mail. Los detalles en el informe adjunto.
Atentamente Security IQEl S.A.

Infecta con solo visualizar el mensaje, utilizando una vulnerabilidad de versiones anteriores a 5.5 del Outlook Express, ejecutándose el archivo si el usuario tiene configurada la opción de vista previa.

El archivo se autoenvía a los contactos de la libreta de direcciones del Outlook y Outlook Express, y a los usuarios del mIRC en mensajes en español (más detalles en http://www.vsantivirus.com/gaggle-c.htm)

Al ejecutarse el gusano, abre una ventana con el siguiente título:

Naria y Erya

Y muestra el siguiente texto:

Gaghiel
Error Cargando : 2015

Luego se despliega el siguiente mensaje del sistema:

Internet Explorer

Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?

[   Si   ] [   No   ]

El gusano copia los siguientes archivos:

C:\Windows\System\Gaghiel.vbs (25,245 bytes)
C:\Windows\System\MEMBG.HTM (53,769 bytes)
C:\Windows\System\AngeldelMar.html (53,085 bytes)

Y puede borrar los siguientes programas del sistema:

C:\Windows\Regedit.exe
C:\Windows\Sfc.exe
C:\Windows\Msconfig.exe
C:\Windows\regedb32.exe

También modifica o crea las siguientes entradas en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Gaghiel = C:\WINDOWS\SYSTEM\Gaghiel.vbs

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Domain Manager
Gaghiel = C:\WINDOWS\SYSTEM\Gaghiel.vbs

HKEY_CURRENT_USER\Software\Gedzac Labs\Mail\

Si la fecha actual es mayor que 25, cambia la página de inicio del Internet Explorer por la siguiente (esta página ya no existe):

http://www.gratisweb.com/machinedramon1/sachiel.scr

El gusano configura el programa Outlook Express para que envíe sus mensajes infectados en formato HTML cada vez que se envía cualquier otro correo electrónico.

También puede propagarse a través de redes locales, infectando archivos de cualquier recurso compartido con las siguientes extensiones, copiándose al final de los mismos:

.HTM
.HTML
.HTA
.ASP
.PHP
.SHTM
.SHTML
.PHTM
.PHTML

Los archivos .VBS y .VBE en cambio serán sobrescritos por el propio código del gusano, siendo por lo tanto irrecuperables.

Para no reiterar la infección, el gusano busca en los archivos mencionados, la cadena "Gaghiel".

Puede borrar los siguientes antivirus del registro:

PER Antivirus
Hacksoft
VirusScan de McAfee
Panda
Symantec

Si la suma del día y el mes es igual a 27 (26 de enero, 25 de febrero, 24 de marzo, etc.), el gusano mostrará una ventana y realizará otras acciones.

El código del gusano contiene el siguiente texto:

REM <**********GEDZAC LABS 2003**********>
REM VBS/Gaghiel.C by MachineDramon/GEDZAC
REM Ultima Versión de VBS/Gaghiel ->Prox. VBS/Israfel.A
REM Hecho en el Peru, Calidad Mundial
REM MachineDramon92@hotmail.com
REM 01-02-2003 Tacna-Peru
REM Derechos Reservados

Más información:

VBS/Gaggle.C. Datos adjuntos: AngelDelMar.HTML
http://www.vsantivirus.com/gaggle-c.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com