Asunto: [uno de los siguientes]

[nombre], this file from me ([nombre])

[nombre], Namamu termasuk dalam daftar terrorist..!!

[nombre], your name is listed in terrorism organisation..!!!

Donde [nombre] es obtenido del mensaje al que responde.

Texto del mensaje: [uno de los siguientes]

This attachment contain listname of terrorist..!!!
hope you can be carrefull if you find one of them..!!!!
or you can reply this email to me after you read the
attachment
thank's...!!!

jika anda nggak percaya atau kurang yakin, coba baca
list attachment ini..!!!
ini sangat urgent..!!!!
saya harap dengan begini kita nggak ada salah paham
thank's...!!!

if you are not sure, please read attachment bellow,
and please reply to me..!!!
this message is very urgent..!!!!
hope we don't have miss understanding
thank's...!!!

Datos adjuntos:

[nombre al azar].zip

El .ZIP contiene una copia ejecutable de si mismo.

Cuando el gusano se ejecuta, busca la presencia de un determinado archivo de texto. Si lo encuentra, no realiza ninguna otra clase de acciones.

Dicho archivo puede tener el siguiente nombre y ubicación:

c:\windows\muhammad_is_my_prophet.txt

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

Puede crear las siguientes copias de si mismo:

c:\windows\Config\Easy.Windows.Monitoring.exe
c:\windows\Config\system.update.exe
c:\windows\mmsg\mcAfee.Update.exe.exe
c:\windows\mmsg\mmsg.exe
c:\windows\safemode.exe
c:\windows\system\svchost.exe
c:\windows\system32\ERSvc.exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Busca y enumera carpetas en el equipo infectado, para crear copias de si mismo dentro de las mismas, con su mismo nombre. Por ejemplo, cuando encuentra una carpeta llamada MIS_ARCHIVOS, crea dentro de ella una copia de si mismo con el mismo nombre:

\MIS_ARCHIVOS\MIS_ARCHIVOS.exe

Esta acción puede provocar que el gusano borre archivos legítimos con el mismo nombre.

También se copia a si mismo en todos los discos, con uno de los siguientes nombres:

listname_of_terrorist.exe
????????_????????.exe

Donde "????????" son caracteres al azar.

Intenta copiarse en todas las carpetas compartidas de todas las computadoras conectadas en una red, cuyas direcciones IP comiencen con los valores 192.168.

Crea además los siguientes archivos (todos ellos solo contienen textos):

c:\windows\Registry1.dll
c:\windows\Registry2.dll
c:\windows\system_log.txt

Los textos son los siguientes:

MUHAMMAD ADALAH MANUSIA .............!!!!!!
MUHAMMAD BUKAN MALAIKAT, DEWA, ATAU BAHKAN TUHAN...!!!!!
TAPI DIA ADALAH PANUTAN SETIAP UMMAT MANUSIA, KARENA DIA ADALAH NABIULLAH..!!!
KAMI MENGHORMATI MUHAMMAD SEBAGAI NABI DAN PEMIMPIN KARENA TINDAKANNYA YANG 99% BENAR BUKAN SEBAGAI DEWA, MALAIKAT ATAU BAHKAN TUHAN....!!!!
SEBAGAIMANA KAMI MENGHORMATI NABI ISA DAN NABI-NABI LAIN KENAPA...???? KARENA MEREKA ADALAH MANUSIA JUGA JADI MOHON JANGAN MENCARI-CARI KESALAHAN DAN KENISTAANNYA YANG MUHAMMAD BERISTRI BANYAKLAH, MENGEKANG WANITA-LAH DAN LAIN-LAIN PAKAILAH LOGIKA, NISCAYA AKAN DAPAT KEBENARANNYA
................................................
JADI, MOHON JANGAN HINA NABI-NABI KAMI...!!!
KARENA MAREKA ADALAH NABI-NABI KALIAN JUGA..!!!!
_________________________________________________
AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
AKU AKAN BERHENTI JIKA ANDA MENYATAKAN SIAPA NABI KALIAN.....
IF YOU DON'T UNDERSTAND, PLEASE TRANSLATE IN YOU LANGUAGE

El gusano examina las dos primeras entradas bajo las siguientes claves del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Si por ejemplo detecta algo como lo siguiente:

Nombre_X = "c:\windows\PROGRAMA.EXE"

Entonces crea una copia de si mismo con el siguiente nombre:

c:\windows\PROGRAMA.EXE.exe

Y luego modifica la entrada del registro por lo siguiente:

Nombre_X = "c:\windows\PROGRAMA.EXE.exe"

Eso lo realiza con las dos primeras entradas encontradas en cada una de las dos claves. Si no existen dos entradas, o si solo hay una, crea alguna de las siguientes en su lugar:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
mcAfee.Instan.Update =
"c:\windows\mmsg\mcAfee.Update.exe.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Easy.Windows.Monitor =
"c:\windows\Config\Easy.Windows.Monitoring.exe.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mmsg = "c:\windows\mmsg\mmsg.exe.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
system.update = "c:\windows\Config\system.update.exe.exe"

Además, crea o modifica las siguientes entradas para realizar sus propias acciones, deshabilitar algunas herramientas de Windows de tal forma de dificultar su detección y desinstalación, así como para ejecutarse como un servicio al reiniciarse Windows:

HKCU\Identities\{CLSID del usuario}\Software
\Microsoft\Outlook Express\5.0\Mail
Warn on Mapi Send = "0x00000000"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "0x00000001"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "0x00000001"

HKCU\Software\Policies\Microsoft\Windows\System
DisableCMD = "0x00000001"

HKLM\SYSTEM\CurrentControlSet\Services\ERSvc
ImagePath = "c:\windows\system32\ERSvc.exe"

HKLM\SYSTEM\CurrentControlSet\Services\srservice
ImagePath = "c:\windows\system\svchost.exe"

El gusano intenta detener los siguientes procesos:

cmd.exe
excel.exe
mirc.exe
mmc.exe
msconfig.exe
winword.exe

Reparación manual

IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que dependerá del daño causado por el gusano desde el momento de ocurrida la infección, hasta el momento de su detección.


Descargue RESTORE.REG para reparar el registro

1. Descargue dicho archivo del siguiente enlace:

http://www.videosoft.net.uy/restore.reg

2. Guárdelo en una carpeta a la que luego pueda acceder fácilmente.


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Localice el archivo RESTORE.REG descargado antes, y haga doble clic sobre él para reparar el registro.

2. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

3. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Identities
\{CLSID del usuario}
\Software
\Microsoft
\Outlook Express
\5.0
\Mail

Donde {CLSID del usuario} es una clave del tipo {7E838567-1201-4860-9650-F629EB73C213} (varía con cada usuario).

4. Haga clic en la carpeta "Mail" y borre la siguiente entrada:

Warn on Mapi Send = "0x00000000"

5. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

6. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

7. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Policies
\Microsoft
\Windows
\System

8. Haga clic en la carpeta "System" y borre la siguiente entrada:

DisableCMD = "0x00000001"

9. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

10. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

11. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\ERSvc

12. Haga clic en la carpeta "ERSvc" y bórrela.

13. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\srservice

14. Haga clic en la carpeta "srservice" y bórrela.

15. Cierre el editor del registro.

16. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com