Asunto: Hi!
Texto del mensaje:
This is a nice game I found. Beat my score: 5386
Points! Try it! :) See you later!
Datos adjuntos: [archivo del gusano]

Ejemplo 2:

Asunto: Something funny!
Texto del mensaje:
This is my little test
Datos adjuntos: [archivo del gusano]

Cuando se ejecuta, crea los siguientes archivos:

c:\windows\Navapw32.exe
c:\windows\Regedit.exe.tmp
c:\windows\Sbbserv.exe

El editor del registro (REGEDIT.EXE), es ejecutado en un nuevo escritorio virtual y el archivo del gusano (REGEDIT.EXE.TMP) es inyectado dentro del mismo proceso.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

G4Mjoohtaeckz

Crea además, copias de si mismo con los siguientes nombres en las carpetas por defecto de los programas de intercambio entre usuarios, Kazaa, iMesh y Grokster:

Command and Conquer Generals No-CD patch (working).exe
Diabolo 2 Keygen.exe
FixKlez.exe
Half-Life No-CD Crack.exe
Madonna Screensaver.exe
Setup.exe
StarCraft BW 1.10 No-CD Crack.exe
Unreal Tournament 2003 No-CD.exe
WarCraft III No-CD (all versions).exe
Windows 2000 Serial.exe
Windows XP Crack.exe
Winzip Serial.exe

Intenta finalizar los procesos activos que contengan alguna de las siguientes cadenas en sus nombres:

afee
anti
ccapp
ccevtmgr
norton
persfw
prot
sym
virus
zone

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NAV Agent = "navapw32.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
ScriptBBlocking = "SBBServ.exe"

Busca direcciones electrónicas en archivos con las siguientes extensiones:

.bak
.htm
.html
.tmp

Al mismo tiempo, el gusano intentará borrar todos los archivos examinados que contengan alguna de las siguientes cadenas:

afee
anti
ccapp
ccevtmgr
norton
persfw
prot
sym
virus
zone

Para enviar los mensajes infectados, utiliza la configuración de correo del usuario infectado, obtenida de la siguiente clave del registro:

HKCU\Software\Microsoft\Internet Account Manager\Accounts

El gusano intenta modificar los archivos SYSTEM.INI y WIN.INI para autoejecutarse en cada reinicio (Windows 9x, Me).

También intenta modificar valores del registro relacionados con los recursos compartidos (Windows 9x y Me):

HKLM\Software\Microsoft\Windows
\CurrentVersion\Network\LanMan
Flags =
Parm1enc =
Parm2enc =
Path =
Remark =
Type =

Reparación manual

Deshabilitar las carpetas compartidas de programas P2P

Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.

Para ello, siga las instrucciones del siguiente artículo:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\Navapw32.exe
c:\windows\Regedit.exe.tmp
c:\windows\Sbbserv.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

NAV Agent

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

ScriptBBlocking

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Network
\LanMan

7. Pinche en la carpeta "LanMan" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

Flags =
Parm1enc =
Parm2enc =
Path =
Remark =
Type =

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Modificar SYSTEM.INI

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.


1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Busque lo siguiente:

[boot]
shell = explorer.exe [archivo del gusano]

y déjelo así:

[boot]
shell = explorer.exe

3. Grabe los cambios y salga del bloc de notas


Modificar WIN.INI

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.


1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
run = [archivo del gusano]

Debe quedar como:

[Windows]
run =

3. Grabe los cambios y salga del bloc de notas.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com