Asunto: Is USA always number one?

Texto del mensaje:
Some misguided people actually believe that an
american life has a greater value than those of
other nationalities. Just have a look at this
pathetic screensaver and then you'll know what
i'm talking about.
All the best.

Ejemplo 2:

Asunto: LINUX.

Texto del mensaje:
Are you a windows user who is curious about the
linux environment? This screensaver gives you a
preview of the KDE and GNOME desktops. What's
more, LINUX is a free system, meaning anyone can
download it.

Ejemplo 3:

Asunto: GO USA !!!!

Texto del mensaje:
This screensaver animates the star spangled
banner. Please support the US administration in
their fight against terror. Thanx a lot!

Ejemplo 4:

Asunto: Nazi propaganda?

Texto del mensaje:
This screensaver has been banned in Germany. It
contains a number of animated symbols that can
be related to the nazi culture. What do you
think, is it a legitimate ban or not? Please
answer asap. Thanx!

Ejemplo 5:

Asunto: Disgusting propaganda.

Texto del mensaje:
Hello! My 12 year old doughter received this
screensaver on a CDROM that was sent to her 
through advertising. I find it disturbing that 
children are now being targets of nazi 
organizations. I would appreciate to hear from 
you on this matter, as soon as possible. Thank 
you.

Ejemplo 6:

Asunto: Spy pics.

Texto del mensaje:
Here's the screensaver i told you about. It 
contains pictures taken by one of the US spy 
satellites during one of it's missions over 
iraq. If you want more of these pic's you know 
where you can find me. Bye!

Ejemplo 7:

Asunto: Screensaver advice.

Texto del mensaje:
Do you think this screensaver could be 
considered illegal? Would appreciate if you or 
any one of your friends could check it out and 
answer as soon as humanly possible. Thanx !

Ejemplo 8:

Asunto: Catlover.

Texto del mensaje:
If you like cats you'll love this screensaver. 
It's four animated kittens running around on 
the screen. Contact me for more clipart. Have 
fun! ;-)

Ejemplo 9:

Asunto: G.W Bush animation.

Texto del mensaje:
Here's the animation that the FBI wants to 
stop. Seems like the feds are trying to put an 
end to peoples right to say what they think of 
the US administration. Have fun!

Ejemplo 10:

Asunto: Is USA a UFO?

Texto del mensaje:
Have a look at this screensaver, and then tell 
me that George.W Bush is not an alien ;-)

Archivos adjuntos:

Cada mensaje lleva un adjunto cuyo nombre consta de dos caracteres seleccionados al azar, y con la extensión .SCR.

Por ejemplo:

qu.scr
sg.scr
hg.scr
ev.scr

Además, el gusano envía un solo mensaje en sueco, con el asunto "DISKRIMINERAD !!!!" a las siguientes direcciones:

qruvabzabr@hotmail.com
red@fna.se
debatt@svt.se
susanne.sjostedt@tidningen.to
skolverket@skolverket.se
mary.martensson@aftonbladet.se
katarina.sternudd@aftonbladet.se
cecilia.gustavsson@aftonbladet.se
jessica.ritzen@aftonbladet.se
margareta.cronquist@tidningen.to
annika.sohlander@aftonbladet.se
kerstin.danielson@aftonbladet.se
insandare@tidningen.to
insandare@aftonbladet.se

Este mensaje aparenta ser enviados por la dirección skrattahaha@hotmail.com, pero se trata de una dirección falsa.

Luego, se envía a todas las direcciones recogidas de la libreta y de archivos, como ya vimos, con los siguientes asuntos en sueco y un mensaje correspondiente a cada asunto, en el mismo idioma (el remitente es elegido al azar de la libreta de direcciones):

Är_USA_ett_UFO?
Avskyvä rd_reklam.
Go ack ack ack....
Hakkors.
Katt, hund, kanin.
Korkad president.
Olaglig_skärmsläckare?
Överviktiga_förnedras.
Rashets eller inte?
Suspekta semaforer.

Infección de archivos PE:

El gusano intenta infectar archivos con formato PE, como forma de volver a ejecutarse en la máquina infectada. No hay rutina de propagación en los archivos infectados, es decir, un archivo infectado no puede volver a infectar a otro. Aunque si lo puede hacer el gusano una vez en memoria.

Los archivos infectados aumentan su tamaño en 567 bytes, que es lo que ocupa el virus. El virus intercepta una llamada a la función API ExitProcess() desde el archivo infectado, redireccionándolo a su propio código, añadido al final del archivo infectado. Esto ejecuta el gusano en memoria y luego continúa el proceso normal. El gusano coloca una marca en los archivos infectados para no volver a hacerlo.

En el código del gusano pueden encontrarse el siguiente texto:

[WORM.SWEDENSUX] Coded by Uncle Roger in Hõrnsand, Sweden, 03.03.
I am being discriminated by the swedish schoolsystem.
This is a response to eight long years of discrimination
I support animal-liberators worldwide

Otros síntomas de la infección del gusano:

La creación de un archivo llamado SCANDISK.EXE en el directorio C:\Windows (el verdadero SCANDISK.EXE en las versiones de Windows que lo traen, está en C:\Windows\System o en C:\Windows\Options\Install).

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Archivos de 45,056 byte con nombres al azar y extensión .EXE en c:\Windows

La existencia de las siguientes claves en el registro de Windows (se guardan allí las direcciones recolectadas para el envío de los mensajes):

HKEY_LOCAL_MACHINE\SOFTWARE\SS\Sent
HKEY_LOCAL_MACHINE\SOFTWARE\SS\Sent2

Cuando se ejecuta el gusano, el mismo se copia en C:\Windows con el nombre de "Scandisk.exe", "tmpworm.exe", y como "xxxxxxxx.exe" (las "xxxxxxxx" representan 8 caracteres al azar). De este archivo pueden llegar a existir una gran cantidad de copias con diferentes nombres, ya que lo genera el gusano cada vez que se ejecuta.

Las siguientes entradas son agregadas al registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanDisk = C:\Windows\SCANDISK.exe

El gusano posee además la capacidad de finalizar la ejecución de varios programas relacionados con la seguridad (antivirus, cortafuegos, etc.), buscando entradas en las claves de inicio del registro ("Run" y "RunServices" de "HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion") cuyos nombres coincidan con algunas de estas referencias:

firewall
f-secure
kaspersky
mcafee
norton
pc-cillin
sophos
symantec
trend micro
virus

En Windows 95, 98 y Me, también examina la clave (y subclaves) "HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \VxD".


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Repare o borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

ScanDisk

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\SS

5. Pinche en la carpeta "SS" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Vuelva a ejecutar sus antivirus en modo escaneo, revisando todos sus discos duros (los antivirus deberán estar actualizados previamente).

9. Repare o borre los archivos detectados como infectados.

Nota: Si el gusano quitó del registro su antivirus, el mismo deberá ser reinstalado. Si ignora esto, aconsejamos reinstalar el antivirus de todos modos.


Información adicional

Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm

Y luego actualice su Internet Explorer como se explica aquí:

Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
19/mar/03 - Alias: Win32.Roger.45056, W32/densus@mm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com