c:\windows\system\SYS32
c:\windows\system\SYSNET

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).

Luego se copia en la carpeta creada con los siguientes nombres de archivos:

Borland KeyGens.exe
BurnDvds.exe
Cisco Certification Test.exe
Counterstrike aim hack.exe
Counterstrike hacks.exe
Counter-Strike, Condition Zero: Activation Key.exe
Crack McAfee 7.exe
Crack Norton 3000.exe
Diablo 2 map hack.exe
Diablo 2 no-cd hack.exe
Dvd Ripper.exe
Dvd To Vcd.exe
Easy Dvd Ripper.exe
EBAY.exe
EZ Dvd Ripper.exe
icqbomber.exe
Information.exe
INTERNET.EXE
Jamella's Diablo 2 hero editor.exe
MP3 encoder decoder V1.8.exe
MSCE Certification Test.exe
Nero Burning ROM v6.3 Ultra: Enterprise edition key.exe
Nimo Codec Pack Updater.exe
PANDA.AVers.lusers.exe
PANDA.lusers.exe
PROVIDER.EXE
Ruby13.exe
SophosCrackAllVersion.exe
Starcraft + Broodwar 1.10 map hack.exe
Starcraft + Broodwar 1.10 no-cd hack.exe
The Frozen Throne map hack.exe
VISA.EXE
Warcraft 3 Frozen Throne cd-cd hack.exe
Warcraft 3 Frozen Throne map hack.exe
Warcraft 3 map hack.exe
Warcraft 3 no-cd hack.exe
Warcraft 3 stat hack.exe
Windows Nt Certification Test.exe
XBOX X-Fer Ripper and Transfer.exe
Xvid Codec Installer.exe

También se copia en la misma carpeta con alguno de los siguientes nombres:

A+ Certification Test.exe ????
Adobe Photoshop CS and ImageReady CS 8.0 ????
Airport Tycoon II - ????
All Adobe Products ????
All Macromedia Products ????
All Microsoft Products ????
American Conquest - ????
Apache AH-64 Air Assault - ????
Battlefield 1942 The Road to Rome - ????
Battlefield Vietnam - ????
BitDefender ????
Bridge Baron 13 ????
Command and Conquer Generals ????
Deus Ex - ????
Divx Pro 5.1 ????
Doom 3 - ????
Dvd Plus ????
Dvd Wizard Pro ????
Dvd Xcopy ????
DvdCopyOne ????
DvdToVcd ????
Easy Dvd creator ????
Eonix Realm Of Hepmia - ????
Fetish Fighters - ????
Forbidden Siren - ????
Freelancer - ????
Grom - ????
Harry Potter and the Prisoner of Azkaban KeyGen and ????
Harry Potter und der Gefangene von Askaban ????
I Was An Atomic Mutant - ????
IGI-2 Covert Strike - ????
Impossible Creatures - ????
Ipswich Town Official Management Game - ????
Kazaa all ????
Microsoft Windows XP Professional ????
Nascar Racing 2003 Season ????
Nero Burning Rom ????
Nod32 ????
Norton AntiVirus 2004 Pro Activation Key & ????
Norton AntiVirus 2005 ????
Norton Internet Security 2004 Keygen & ????
Norton Internet Security 2004 Pro ????
Norton Internet Security 2005 Pro ????
Office XP Universal ????
Private Nurse - ????
Robot Arena Design And Destroy - ????
Serious Sam - Gold Edition - ????
Shadow of Memories - ????
Shrek 2 ????
Sim City 4 - ????
Slot City 3 ????
Spellforce - Breath of Winter ????
Spider-Man 2 ????
Symantec Antivirus 2005 ????
Symantec Internet Secutiy 2005 ????
Test Drive - ????
The Campaigns of La Grande Armee - ????
The Emperors Mahjong - ????
Tom Clancys Splinter Cell - ????
Tombstone 1882 - ????
Unreal II The Awakening - ????
WinACE ????
Windows Server 2003 ????
WinRAR 3 ????
WinZIP 9 ????
World Of Outlaws Sprint Car Racing 2002 - ????
Zone Alarm 5.0 pro ????

Donde "????" es una de las siguientes cadenas:

Crack.exe
Keygen.exe
NoCD.exe
Serial.exe

Ejemplos:

WinRAR 3 Keygen.exe
World Of Outlaws Sprint Car Racing 2002 - Serial.exe
Zone Alarm 5.0 pro NoCD.exe

Todos son copias del gusano, pero en ocasiones se disfraza agregando más bytes al archivo (solo basura).

Crea la siguiente entrada para autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Ruby13 = c:\windows\system\[carpeta creada]\Ruby13.exe

HKCU\Software\Imesh\Client\LocalContent
Dir0 = 012345:c:\windows\system\[carpeta creada]

HKCU\Software\Kazaa\LocalContent
Dir0 = 012345:c:\windows\system\[carpeta creada]

HKCU\Software\Kazaa\Transfer
DlDir0 = c:\windows\system\[carpeta creada]

El gusano puede enviarse por correo electrónico usando su propio motor SMTP, en mensajes con las siguientes características:

Asunto: [uno de los siguientes]

- EBAY Information
- Internet Information
- Provider Information
- VISA Information
- Your Crack

Texto del mensaje: [uno de los siguientes]

- EBAY Installer...
- Here is your crack!
- New account data...
- Security Tool...

Datos adjuntos: [uno de los archivos copiados anteriormente]

Las direcciones para enviarse, son extraídas de archivos de la máquina infectada que posean las siguientes extensiones:

.dbx
.doc
.htm
.rtf
.sht
.txt
.wab

El gusano evita direcciones que contengan cualquiera de las siguientes extensiones:

admi
host
kasp
micr
newv
root
supp
viru
webm

El gusano puede desplegar una ventana con el siguiente texto:

Ruby V1.3, (c)BI 16.08.2004
Fight against MICROSOFT and make a virus!
[ OK ]

Reparación manual

Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Deshabilitar las carpetas compartidas en iMesh

1. Ejecute iMesh

2. Seleccione "Options" del menú "Preferences".

3. En la ventana de "Category" seleccione "Share" y desmarque la casilla "Allow other users to view my shared files option".

4. Seleccione el menú "Media Manager" y busque en la lista de carpetas, todas las que tengan una casilla grisácea a la derecha del nombre. Márquelas para que dejen de estar grisáceas, y luego desmárquela para que quede en blanco. Repítalo con todas las carpetas y subcarpetas que allí encuentre.

5. Pinche en "Aceptar", etc.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre la carpeta creada y su contenido:

c:\windows\system\SYS32
c:\windows\system\SYSNET

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Imesh
\Client
\LocalContent

3. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Dir0 = 012345:c:\windows\system\[carpeta creada]

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

5. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Dir0 = 012345:c:\windows\system\[carpeta creada]

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\Transfer

7. Pinche en la carpeta "Transfer" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DlDir0 = c:\windows\system\[carpeta creada]

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

9. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Ruby13

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

19/09/04 - 21:21 -0200 (Alias: W32/Fightrub@MM)
21/09/04 - 02:19 -0200 (Alias: WORM_MEXER.E)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com