Asunto: Hey

Texto:
Hey just telling you hi. Also i'm telling you in the next
email there will be an attachment along with it, so don't
worry. Gotta go. Bye :)

El segundo mensaje selecciona uno de los siguientes textos como cuerpo:

Here's that attachment I told you about.
It's an adult screensaver slideshow program 
Here it is

Here's that attachment I told you about.
It's an Outlook Service Release upgrade 
Here it is

Here's that attachment I told you about.
It's a Microsoft Explorer Patch
Here it is

Here's that attachment I told you about.
It's a Desktop Game I downloaded off theinternet
Here it is

Here's that attachment I told you about.
It's a brand-new MP3 player with 3D plug-ins
Here it is

Here's that attachment I told you about.
It's an interactive screensaver that counts 'howmany
days you have left to live' :)
Here it is

Archivo adjunto: INSTALL.EXE (o INSTALL.SCR)

Cuando se ejecuta este adjunto, haciendo doble clic sobre él, el virus modifica todos los archivos .EXE y .SCR cuando estos son ejecutados, agregándoles su código. El tamaño de estos archivos aumenta unos 19,500 bytes. Los primeros 1,000 bytes del archivo original son encriptados y movidos al final del propio archivo. Cuando el archivo infectado se ejecuta, el virus extrae y arma la imagen completa del archivo original, la copia en un archivo .VXV, la ejecuta, y luego la borra.

El virus intenta también agregar un macro llamado "Syphilis" a los documentos Word 97 o superior, además de su propio código ejecutable. El virus se extrae a si mismo al archivo CHLAM.EXE y luego se copia en estos archivos:

C:\WINDOWS\System\SysT_eDit.exe
C:\WINDOWS\System\sys_edit_.dll

Cuando un documento de Word infectado es cerrado, entonces el virus se propaga exportando su código al archivo FAYZE.DLL, y de allí a otros documentos a los que infectará. FAYZE.DLL es borrado luego de esta acción.

El virus deshabilita el mensaje de advertencia por posible virus de macro de Word, la opción "Preguntar si guarda la plantilla normal", y la de "Confirmar conversiones al abrir".

También deshabilita el menú Archivo/Plantillas, Herramientas/Macros, y Herramienta/Macros/Editor de Visual Basic.

El virus intenta enviarse a si mismo vía mIRC (si este programa está instalado) a otros usuarios de los canales de chat a los que se conecte el usuario de la máquina infectada.

Para limpiar un sistema infectado con este virus, ejecute dos o más antivirus actualizados para revisar su computadora. Luego, proceda a modificar las siguientes ramas del registro.

Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter. Luego busque la siguiente entrada del registro:

HKEY_LOCAL_MACHINE\Software\Team Necrosis\

Borre la carpeta "Team Necrosis"

Busque esta entrada:

HKEY_CURRENT_USER\comfile\shell\open\command\
(Predeterminado)= "C:\windows\system\SysT_eDit.exe" %1 %*

En la ventana de la derecha, cambie los datos para {Predeterminado) por los siguientes:

(Predeterminado)= "%1" %*

Busque esta entrada:

HKEY_CURRENT_USER\exefile\shell\open\command\
(Predeterminado)= "C:\windows\system\SysT_eDit.exe" %1 %*

En la ventana de la derecha, cambie los datos para {Predeterminado) por los siguientes:

(Predeterminado)= "%1" %*

Busque esta entrada:

HKEY_CURRENT_USER\scrfile\shell\open\command\
(Predeterminado)= "C:\windows\system\SysT_eDit.exe" %1 /S

En la ventana de la derecha, cambie los datos para {Predeterminado) por los siguientes:

(Predeterminado)= "%1" /S

Luego, use "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Finalmente, restablezca las protecciones contra virus de macro de Word:

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir".

En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a Medio o Alto.

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Glosario:

(1) Virus multipartite. Son aquellos virus capaces de infectar diferentes tipos de archivos. Puede ser un virus de macro como de archivos ejecutables. Algunos también son capaces de infectar sectores de arranque de disquetes o discos duros.

(2) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

Fuente: Network Associates, Symantec
(c) Video Soft - http://www.videosoft.net.uy