[windows]
run=C:\Windows\AVUPDATE.EXE

El troyano crea también un archivo SCRIPT.INI conteniendo las instrucciones para propagarse a través de los canales de CHAT (IRC) usando el programa mIRC. Esto solo funciona si dicho programa está en alguna de estas ubicaciones:

C:\Mirc
C:\Mirc32
C:\Program Files\Mirc
C:\Program Files\Mirc32

También genera un archivo SEND.VBS (script de Visual Basic), con las instrucciones para propagarse vía e-mail, en un archivo del directorio raíz del disco C, para luego ejecutarlo:

C:\Send.vbs

Nombre: IRC/Mustard.A
Tipo: Gusano de IRC
Alias: IRC_MUSTARD.A, MUSTARD, MUSTARD.A, I-Worm.Petik.d
Tamaño: 141 Bytes

Corresponde al código incluido en el archivo SCRIPT.INI, y se encarga de propagar el troyano Troj/Mustard.A a través del IRC, usando el programa mIRC. No posee ninguna rutina destructiva.

Envía el archivo del troyano (AVUPDATE.EXE) ubicado en C:\Windows a todos los usuarios conectados al mismo canal de IRC donde se halle conectado el usuario infectado.


Nombre: VBS/Mustard.A
Tipo: Gusano de Visual Basic Script
Alias: VBS_MUSTARD.A, MUSTARD, MUSTARD.A, I-Worm.Petik.d
Tamaño: 592 Bytes

Es el componente encargado de enviar al troyano Troj/Mustard.A a través del correo electrónico, a todos los usuarios listados en la libreta de direcciones del Outlook.

El mensaje generado posee estas características:

Asunto: Antivirus Update
Texto: The last version of your AV
Archivo adjunto: AVUPDATE.EXE

Para eliminarlo de un sistema infectado:

1. Desde Inicio, Ejecutar, escriba WIN.INI y pulse Enter

2. Modifique la siguiente línea:

[windows]
run=C:\Windows\AVUPDATE.EXE

De modo que quede así:

[windows]
run=

3. Guarde los cambios realizados y reinicie su PC.

4. Ejecute un antivirus al día y borre los archivos identificados como Troj/Mustard.A, W32/Update.Worm o similar.

Si se posee Norton como antivirus, se recomienda reconfigurar las opciones por defecto, reinstalar el producto, o utilizar un segundo antivirus (también actualizado) para escanear el
sistema. Una opción gratuita es el F-PROT, que puede bajar de nuestro sitio.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de éstos.

Glosario:

IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

DCC (Direct Client to Client) - Los archivos enviados entre usuarios participantes de un canal de chat (IRC) se transmiten por medio de una sesión denominada DCC (Direct Client to Client), que permite la transferencia directa de los mismos.

Ver también:

02/jun/01 - W32/Update.Worm. Falsa actualización deshabilita a Norton


Fuente: Trend Micro, Symantec, Kaspersky
(c) Video Soft - http://www.videosoft.net.uy