mcafee
softice
numega
antivirus
anti-virus
win32dasm
sophos
catsclaw
claw95
lockdown
symantec
firewall
virusscan
virus-scan
fprot
f-prot
zone labs
atguard

Esto intenta borrar del sistema antivirus y cortafuegos, para evitar ser detectado.

También modifica archivos con extensión .KIX para poder ejecutarse, y los archivos .HTM son modificados para abrir el sitio de Microsoft.

Elimina también archivos del sistema, causando la inestabilidad del mismo.

Llega en un mensaje con estas características:

Asunto: [solamente un espacio]
Datos adjuntos: Tast.exe

Cuando el usuario ejecuta este archivo, el gusano realiza las siguientes acciones:

1. Se copia a si mismo como EXPLORER16.EXE en la carpeta correspondiente a la variable %SYSTEM%, por ejemplo:

C:\Windows\System\Explorer16.exe

%SYSTEM% puede ser C:\Windows\System, C:\Windows\System32, o C:\Winnt\System32.

2. Modifica el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Explorer = C:\Windows\System\Explorer16.exe

3. En Windows 95, 98 y Me, el gusano se registra como un servicio, lo que causa su ejecución en memoria sin que aparezca en la lista de tareas (CTRL+ALT+SUPR).

4. Busca en el sistema la carpeta '\%WINDOWS%\Internet Logs' (Ej: 'C:\WINDOWS\Internet Logs'), lo que le indica la presencia del cortafuegos ZoneAlarm. %WINDOWS% puede tener varios nombres de acuerdo a la versión del sistema operativo instalada, por ejemplo: C:\Windows o C:\Winnt.

Si dicha carpeta existe, el gusano crea el archivo 'C:\Noalarm.bat', el cuál contiene las instrucciones para desproteger y borrar los archivos siguientes:

\%System%\Vsdata95.vxd 
\%System%\Vsdatant.sys 
\%System%\Vsdata.dll 
\%System%\Vsmonapi.dll 
\%System%\Vspubapi.dll 
\%System%\Vsmonapi.dll 
\%Windows\Internet Logs\*.* 
\Progra~1\ZoneLa~1\ZoneAl~1\*.*
\%System%\ZoneLabs\\*.*

Todos ellos corresponden al ZoneAlarm.

5. El gusano agrega una línea al archivo 'C:\Autoexec.bat' con la orden para ejecutar el BAT anterior en el próximo reinicio de Windows.

6. Se modifica el archivo \%WINDOWS%\Hosts. Dicho archivo es usado por Windows para asociar nombres de dominio con direcciones IP. Si este archivo existe (en C:\Windows\), el sistema lo examina antes de hacer una consulta a un servidor DNS. El gusano crea las siguientes entradas apuntando todas a la dirección IP 127.0.0.1 que corresponde por defecto a la computadora local:

www.mcafee.com
www.mcaffee.com
www.norton.com
www.theregister.co.uk
www.zdnet.com
www.sophos.com
www.zonelabs.com
www.zonealarm.com

Esto hace que dichas direcciones no sean accesibles desde la computadora infectada.

7. Después de la acción anterior, el gusano selecciona al azar un puerto TCP/IP entre el 0 y el 4999, y lo apunta en el archivo de texto 'C:\Skyliner.dat'. Luego, se ejecuta como servidor, y se pone a la escucha por el puerto seleccionado antes, esperando las instrucciones remotas de un atacante. Este servidor responde en forma estándar a consultas HTTP, presumiblemente con la idea de ser fácilmente identificado por un atacante en busca de máquinas infectadas a través de Internet.

8. Luego, el gusano examina si está activa la conexión con Internet, intentando establecer una conexión HTTP con el sitio Web de Microsoft. Cierra esta conexión inmediatamente después de grabar la dirección IP del servidor con el que se conectó.

Si no logra conectarse con el sitio de Microsoft, el gusano lo intentará nuevamente cada 65 segundos, hasta lograr hacerlo.

9. Cuando determina que existe una conexión a Internet establecida, el gusano examina la configuración de correo electrónico del sistema, leyendo algunos de los siguientes valores del registro:

Software\Microsoft\Internet Account Manager
\Default Mail Account\[identificador]

Software\Microsoft\Internet Account Manager
\Accounts\[identificador]

Software\Microsoft\Internet Account Manager
\Accounts\00000001

10. Con la búsqueda anterior, obtiene la dirección del servidor SMTP del usuario infectado.

11. Despliega un mensaje que muestra el nombre de dicho servidor.

12. Intenta abrir conexiones con alguno de los siguientes servidores IRC:

irc.dal.net (puertos 6660, 6667 o 7000) 
typhoon.va.us.dal.net (puerto 6667) 
liberty.nj.us.dal.net (puerto 6667)

13. Usando una identidad generada al azar basándose en el nombre de la computadora y parte de la hora actual del sistema, se une a un canal de chat en uno de dichos servidores y queda a la espera de instrucciones para actuar como 'backdoor' en el sistema infectado. La conexión IRC es usada también para enviar mensajes privados, presumiblemente al autor del gusano, para reportar el estado de las operaciones ejecutadas.

El 'backdoor' a través del IRC, maneja cierto número de comandos que permiten a un atacante modificar algunos parámetros en la computadora atacada, provocando el envío masivo del mismo gusano a través del correo electrónico, la realización de ataques de denegación de servicio (D.o.S), y otras funciones relacionadas con la red.

14. El gusano ejecuta varios hilos de exploración de todas las unidades de disco locales de la C a la Z si corresponde. Cada hilo busca recursivamente la estructura de directorios y subdirectorios en cada disco, buscando archivos con las siguientes condiciones:

Archivos con extensión .dbx, .idx, o .mbx cuyo camino no contenga la cadena 'Folders', son examinados para la extracción de direcciones de correo válidas.

Archivos con la extensión .htm son examinados para extraer direcciones de correo válidas, y además son modificados para incluir una etiqueta 'iframe' que contiene un enlace a la dirección del sitio Web de Microsoft, aparentemente con la intención de causar ataques de denegación de servicios.

Archivos con extensión .kix (scripts de reportes), son modificados para ejecutar una copia del gusano. El virus se copia a si mismo con un nombre al azar que está basado en el nombre de la computadora. Se agrega la siguiente línea al principio de cada archivo .kix:

run "<nombre al azar>.exe"

Por cada archivos con extensiones .mp3, .iso, .avi, o .mpg encontrado, el gusano se copia a si mismo con el mismo nombre y el agregado de la extensión .exe. Por ejemplo, si encuentra un archivo NOMBRE.MP3, se crea una copia del gusano llamada NOMBRE.MP3.EXE.

15. Si existe el archivo 'Winrar.exe', envía un mensaje al atacante reportando su existencia. Después se guarda la ubicación de este archivo para modificar posteriormente todos los archivos con extensiones .RAR y .ZIP de modo de incluir una copia del gusano.

16. El gusano borra todos los archivos cuya ubicación (path), contenga alguna de las siguientes cadenas de caracteres:

mcafee
softice
numega
antivirus
anti-virus
win32dasm
sophos
catsclaw
claw95
lockdown
symantec
firewall
virusscan
virus-scan
fprot
f-prot
zone labs
atguard

17. Después que todos los hilos han finalizado infectando los discos locales, el gusano se envía a si mismo masivamente a todas las direcciones de correo encontradas antes. Envía dos mensajes por cada dirección. El primero contiene una referencia oculta con una etiqueta IFRAME en Content-Type, apuntando al sitio de Microsoft (el enlace se ejecuta con solo leer o visualizar en la vista previa dicho mensaje). El segundo mensaje contiene al propio mensaje como adjunto. Este mensaje tiene las mismas características vistas al principio de esta descripción.

18. Luego del envío, el gusano procede a repetir su rutina de infección pero esta vez a todos los recursos compartidos en red (del mismo modo que lo hizo antes en todos los discos duros del C al Z como se indica del punto 14 en adelante).


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el virus

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

explorer

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com