Angeline_jolie.scr

Si existe la carpeta compartida del KaZAa, se copia en ella con los siguientes nombres:

Ana_Kurnikova_XXX.scr
CreditCard Gen2003.exe
ICQ DDoS.exe
MSN Crack (works).exe
Office 2003 KeyGen .exe
PayPal.com hack.exe
WinXP KeyGen.exe
XXX Search Engine2003.exe
YahooMail hack .exe

Intenta crear los siguientes archivos, sobrescribiendo aquellos existentes:

\mirc\script.ini
c:\read_this_shit_now.txt
c:\setuplogs.vbs
c:\windows\wupdm32.exe
c:\windows\system\emls.tmp
c:\windows\system\ossmtp.dll

El último es un archivo legítimo de Windows que será reemplazado. El nuevo SCRIPT.INI permite reenviar el gusano por los canales de chat, a través del mIRC.

Agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wupdm32 = c:\windows\wupdm32.exe

Luego utiliza el script SETUPLOGS.VBS para buscar direcciones electrónicas en los archivos con las extensiones .ASP, .HTM, .HTML y .TXT. Las direcciones encontradas son almacenadas en el archivo EMLS.TMP.

Envía un mensaje a una dirección electrónica predeterminada, para reportar la infección.

El gusano utiliza un archivo legítimo de Windows (OSSMTP.DLL), para enviar mensajes vía SMTP. El nombre del servidor SMTP es tomado de la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Microsoft
\InternetAccount Manager\Accounts\00000001\SMTP Server

El mensaje envía el contenido de las siguientes claves:

HKEY_CURRENT_USER\Software\Microsoft
\InternetAccount Manager\Accounts\00000001
\SMTP Server

HKEY_CURRENT_USER\Software\Microsoft
\InternetAccount Manager\Accounts\00000001
\SMTP Email Address

HKEY_CURRENT_USER\Software\Microsoft
\InternetAccount Manager\Accounts\00000001
\SMTP Display Name

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
\ComputerName\ComputerName\ComputerName

Luego se envía como adjunto a todas las direcciones previamente almacenadas en EMLS.TMP. La dirección del remitente es tomada de la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Microsoft
\InternetAccount Manager\Accounts\00000001
\SMTP Email Address

El asunto del mensaje, será uno de los siguientes, seguido de un espacio y un número al azar de cuatro dígitos (por ejemplo: "Last notice! 7865"):

Last notice!
Order from ScreenSeaver.com
Ovo nema smisla!
Postovanje! Molim Vas Procitajte!
Re: Order!
Re: ScreenSaver...
Re: ScreenSeaver Order
Regard ! Please read...
This is not OK !
Upozorenje
Warning!!!
Why you spam us ?
Your order - ScreenSeaver!
Zadnja opomena!
Zbog cega spamujete

Cómo adjunto, se envía el propio gusano en un formato .EXE o .SCR. El nombre puede ser creado de dos formas diferentes. Una de ellas, lo arma de la forma [Parte 1]+[Parte 2]+[Parte 3]+[Extensión]:

Donde [Parte 1] puede ser una de las siguientes cadenas:

Hmmm_
Jeah_
Only_
Sexy_
XXX_

[Parte 2] será una de las siguientes cadenas:

Ana_Kurnikova
Ana_Nikolic
Angeline_Jolie
Carmen_Electra
Jelena_Karleusa
Jennifer_Lopez
Natasa_Bekvalac
Olja_Karleusa
Sylvia_Saint
Vesna_Pisarovic

[Parte 3] es una cadena o cuatro dígitos iguales a los que aparecen en el "Asunto".

Ejemplos:

Hmmm_Ana_Kurnikova6755.exe
Sexy_Jennifer_Lopez4932.scr

La segunda forma de armar el nombre de los adjuntos, está creada de la siguiente forma:

[Parte 1]+[Parte 2]+[Parte 3]+[Parte 4]

Donde [Parte 1] es una de las siguientes:

file
log
logs
mail
smtp

La [Parte 2] está formado por el dígito al azar aparecido en el asunto, pero repetido dos veces (por ejemplo: 78657865).

La [Parte 3] es la siguiente:

" - "

La [Parte 4] es una de las siguientes:

www.arkayunet.scr
www.drenik.scr
www.eunet.scr
www.memodata.scr
www.neobee.scr
www.nic.yu.scr
www.ptt.scr
www.telekom.scr
www.treointer.scr
www.yugodata.scr

Ejemplos:

file67556755 - www.arkayunet.scr
smtp45734573 - www.eunet.scr

El texto del mensaje puede ser uno de los siguientes (o con ligeras modificaciones):

Ejemplo 1:

Dear Customer,

Thank you for ordering our screensaver...

1. [nombre del adjunto] (top rated) - $7.95

Subtotal: $7.95
Shipping & Handling: $0.00
Tax: $0.00
Total: $7.95
We have sent you the requested screensaver!
Your Screensaver was sent with this e-mail, and you can find it in the attachment >[nombre del adjunto]<
If you have any questions about this order or the products/services you've purchased, please feel free to:
Contact our Customer Orientation Group at 480-505-8888
Email us at support@screenseaver.com
Sincerely,
www.screenseaver.com
Thank you for ordering our screensaver...
[nombre del usuario]

Ejemplo 2:

Dear Sir,
According to our cognitions you have done next:
actually you have been buring our network and our right is to protect our users.
Accourding to that you have been informed about this by phone by our System engineer, with this letter we want to point you to next facts:
1) Your personal account is not restricted in any way and our right is to protect our users and servers;
2) Server mail.0web-0hosting.com has been shuted down beacouse large amount of emails that have been arricing to our servers and beacouse of adequacy suspicion that it is a spam ramp.
3) Unsubscribing system is not functioning!
On unsubscribing attempt result is next:
Persits.MailSender.4 error '800a0004'
Connection timed out.
---------------------
The emails are still arriving...
According to part 10 of Personal servie terms of use we are authorized to warn you about this.
As an evidence we have a LOG file fromour server that is clearly showing date and time when you have been sending spam emails, your IP address and your username!
Please accept this warnning about sending informations to users and wrongly interpret our actions taken in your case as seriously as possible.
If you don't accept this warning we will be forced to refer to our lawyers so we could protect our company intersts.
If you don't understand anything in this email, please contact us via email or by phone for aditional explanations.
According to computer criminal law of USA, act 168v, act you have done is judget to jail (1-8 years).
Best regards,
[nombre del usuario],
Office Manager

Ejemplo 3:

Postovani,Vi ste prema nasem saznanju cinili sledece:
Spam-ovanje Servera Provajdera putem slanja istovetnih poruka na veliki broj adresa na Internetu i time prakticno nasu mrezu asipali velikim kolicinama mail-ova i nase je pravo da zastitimo korisnike.
S obzirom da ste obavesteni putem telefona od strane System inzinjera o svemu,ovim putem i pismeno zelimo da vam ukazemo na sledece :
1. Vas nalog personal nalog nichim nije ogranichen, nase pravo je da maskimalno zastitimo nasu mrezu i servere od spama.
2. Server mail.0web-0hosting.com je iskljucen pre dve nedelje zbog velike kolichine maila koja je stizala na nashe servere, ali i zbog osnovane sumnje da je taj server spamerska rampa.
3. Ne funkcionishe sistem za skidanje s liste!

Pokusaj unsubscribovanja, rezultat je sledeci:
Persits.MailSender.4 error '800a0004'
Connection timed out.
-----------------
mailovi su nastavili da dolaze...
U skladu s clanom 10. Opstih uslova koriscenja Personal servisa mi smo
ovlasceni da u navedenom slucaju Vas opomenemo.
U prilog nashoj tvrdnji,je LOG fajl sa naseg servera sa kojeg se vidi vasa IP adresa , kao 
i Vas username!
LOG fajl sa naseg servera je pre 3 dana i tacno se vidi vreme i datum kada ste slali mailove!
Zamolicu Vas da krajnje ozbiljno shvatite nase upozorenje u vezi slanja informacija korisnicima, cime pogresno interpretirate nase postupke u odnosu na vas.
Ukoliko se oglusite na nase upozorenje bicemo prinudjeni da se obratimo advokatima kako bi na taj nacin zastitili interese nase kompanije.
U slucaju da imate bilo kakve nedoumice u vezi s ovim dopisom, molimo Vas da nam posaljete e-mail ili se javite na nas telefon radi dodatnih razjasnjenja.
Prema zakonu Srbije i Crne Gore o ompljuterskom kriminalu po clanu 186v za ovo delo koje ste ucinili predvinjena je kazna zatvorom od jedne do osam godina.

S postovanjem,
[nombre del usuario]
Office Manager

Nota: [nombre del usuario] es el valor que aparece como usuario de la cuenta de correo, en la siguiente rama del registro:

HKEY_CURRENT_USER\Software\Microsoft
\Internet Account Manager\Accounts
\00000001\SMTP Display Name

Cada día 13 de cualquier mes, el gusano intentará borrar los archivos con las siguientes extensiones de las carpetas SYSTEM, SYSTEM32, WINDOWS y WINNT:

.exe
.sys
.ini

También mostrará una ventana con el siguiente mensaje:

Wupdm32
Dosao je i moj dan , kada sam postao Veliki i
Mocan! Zivela velika Srbija, ACIdCooKie!
[ OK ]

Reparación manual

Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

\mirc\script.ini
c:\read_this_shit_now.txt
c:\setuplogs.vbs
c:\windows\wupdm32.exe
c:\windows\system\emls.tmp
c:\windows\system\ossmtp.dll

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Wupdm32

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com