Error Starting Program
A required .DLL file, MSVBVM60.DLL, was not found.
[   OK   ]

Si se pulsa en el botón [OK], el gusano se envía a si mismo a toda la libreta de direcciones de Windows.

Los mensajes son seleccionados de las siguientes opciones:

Ejemplo 1:

Asunto: Modem booster
Datos adjuntos: ModemBooster.exe

Texto:
Hello,
I have a fairly slow modem, that is, until I
installed the file in the attachments!
This program is a "Modem booster", it can make
your internet connection go at most 2x faster :)
Enjoy!

Ejemplo 2:

Asunto: Better than WinZip?
Datos adjuntos: FileCompress.exe

Texto: Try this file compressor that I downloaded
from the net yesterday!
I have compressed some files, and it makes them
at least 3 times smaller!
The installation file should be in the attachments
as "FileCompress.exe"
Cya!

Ejemplo 3:

Asunto: Warp ScreenSaver
Datos adjuntos: WarpScreen.scr

Texto: Try this warp ScreenSaver in the attachments!
Cya!

Ejemplo 4:

Asunto: Program
Datos adjuntos: Winprg32.pif

Texto: Here is that program that you asked for
yesterday.

Ejemplo 5:

Asunto: Fire ScreenSaver
Datos adjuntos: FireScreen.scr

Texto: Hello,
Check out this ScreenSaver of fire!
I think that it is one of the best ScreenSavers
that I have ever seen!
Cya!

Ejemplo 6:

Asunto: Program
Datos adjuntos: Msprg32.pif

Texto: Here is a copy of that program that
everyone is asking for.
Please don't delete it, because I might not send
it to anyone else.
Thanks.

Mientras, el gusano se copia en las siguientes ubicaciones:

c:\windows\FireScreen.scr
c:\windows\Msctrl32.scr

NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).

También modifica el registro para autoejecutarse en próximos reinicios de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Msctrl32 = c:\windows\Msctrl32.scr

Crea además las siguientes entradas en el registro:

HKCU\Software\Zed\Outsider
Outsider = W32/Outsider by Zed

La información que puede robar de la computadora infectada (kelylogger), es guardada en los siguientes archivos, que no contienen código malicioso:

c:\windows\Inetdun32.txt
c:\windows\Inetcon32.txt

Esta información es enviada por el gusano a una dirección electrónica predeterminada en su código:

msctrl32@hotmail.com

El gusano busca las siguientes carpetas en la unidad C, pertenecientes a conocidos programas de intercambio de archivos:

\Program Files\KMD\My Shared Folder
\Program Files\KAZAA\My Shared Folder
\Program Files\Kazaa Lite\My Shared Folder
\Programmer\KMD\My Shared Folder
\Programmer\KAZAA\My Shared Folder
\Programmer\Kazaa Lite\My Shared Folder
\Program\KMD\My Shared Folder
\Program\KAZAA\My Shared Folder
\Program\Kazaa Lite\My Shared Folder
\Programme\KMD\My Shared Folder
\Programme\KAZAA\My Shared Folder
\Programme\Kazaa Lite\My Shared Folder
\Programmi\KMD\My Shared Folder
\Programmi\KAZAA\My Shared Folder
\Programmi\Kazaa Lite\My Shared Folder
\ProgramFiler\KMD\My Shared Folder
\ProgramFiler\KAZAA\My Shared Folder
\ProgramFiler\Kazaa Lite\My Shared Folder
\Programas\KMD\My Shared Folder
\Programas\KAZAA\My Shared Folder
\Programas\Kazaa Lite\My Shared Folder
\Archivos De Programma\KMD\My Shared Folder
\Archivos De Programma\KAZAA\My Shared Folder
\Archivos De Programma\Kazaa Lite\My Shared Folder

Si existe alguna, se copia allí con los siguientes nombres:

Johnny English (Movie) - Full Downloader.pif
Gladiator (Movie) - Full Downloader.pif
SwordFish (Movie) - Full Downloader.pif
MSN Messenger Password Stealer.pif
Norton AntiVirus 2003 Full.exe
Hotmail Password Cracker.pif
Jasc Paint Shop Pro 7 (Full).pif
ScreenSaver.scr
Microsoft Office 2003 Full.exe

El gusano también intenta eliminar los siguientes procesos correspondientes a conocidos antivirus y cortafuegos:

_avp.exe
_avp32.exe
ackwin32.exe
anti-trojan.exe
apvxdwin.exe
autodown.exe
avconsol.exe
ave32.exe
avgctrl.exe
avkserv.exe
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
avsched32.exe
avwin95.exe
avwupd32.exe
blackd.exe
blackice.exe
ccapp.exe
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
claw95ct.exe
cleaner.exe
cleaner3.exe
dv95.exe
dv95_o.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
efinet32.exe
esafe.exe
espwatch.exe
f-agnt95.exe
findviru.exe
f-prot.exe
fprot.exe
f-prot95.exe
fprot95.exe
fp-win.exe
frw.exe
f-stopw.exe
iamapp.exe
iamserv.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icmoon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
jed.exe
jedi.exe
kpf.exe
kpfw32.exe
lockdown2000.exe
lookout.exe
luall.exe
moolive.exe
mpftray.exe
n32scan.exe
n32scanw.exe
navapw32.exe
navlu32.exe
navnt.exe
navsched.exe
navw.exe
navw32.exe
navwnt.exe
nisum.exe
nmain.exe
normist.exe
nupgrade.exe
nvc95.exe
outpost.exe
padmin.exe
pavcl.exe
pavsched.exe
pavw.exe
pccwin98.exe
pcfwallicon.exe
persfw.exe
rav7.exe
rav7win.exe
rescue.exe
safeweb.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
serv95.exe
smc.exe
sphinx.exe
sweep95.exe
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
vcontrol.exe
vet32.exe
vet95.exe
vet98.exe
vettray.exe
vscan40.exe
vsecomr.exe
vshwin32.exe
vsscan40.exe
vsstat.exe
webscan.exe
webscanx.exe
wfindv32.exe
zapro.exe
zonealarm.exe

Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\FireScreen.scr
c:\windows\Msctrl32.scr
c:\windows\Inetdun32.txt
c:\windows\Inetcon32.txt

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Msctrl32

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Zed

5. Pinche en la carpeta "Zed" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com