Hi! 

Long time no see! I think you don't remember me!
Open a file that I attached for you, It's about
me and you about ten years ago. I made it with
Macromedia Flash 6.0.

Your Old Friend Arnold Lavoc

Opción 2:

Dear customer of Symantec Corp. 

We have send to you a virus removal for
W32.BugBear@mm version 1.40.
There are many bugs are fixed. Download
immediately an run it to prevent this worm
from spread. 

By Arnold Lavoc 
Editor of Symantec Corp.

Opción 3:

Dear Customer of McAfee VirusScan,

We have already create a patch for McAfee Virus
Scan 7.0 product because we have detected that
the monitor scan technology does not function
correctly when the virus is detected. To prevent
this problem please download an attachment and
run it into the current directories. It will
search an patch automatically when it found. 

By Arnold Lavoc

Editor of Networks Associates Technology, Inc.

MILAN SYSTEM SECURITY CENTER

Opción 4:

Dear Customer, 

Do you want to learn more about virus or make
your own virus. We have attached to you a file
that can teach you how to make and prevent the
virus. This file also thrustly and have a Digital
Signature to give to you more trustly of this
product. You can learn more about this utility at
http://www.mssc.com/index.html to learn more about
this powerful utilities. 

By Arnold Lavoc 

Manager Of Milan System Security Center

Opción 5:

IMPORTANT!
PREVENT FROM VIRUS!
ALERT! AND WARNING!
Run away!
Got Special Offer!

El archivo adjunto a cada uno de estos mensajes, puede ser uno de los siguientes:

FX09302.EXE
INSTALL0221.EXE
JUMP0001.EXE
SETUP.EXE
SETUP93028.EXE

Cuando se ejecuta por primera vez, crea los siguientes archivos:

C:\Windows\setup.exe
C:\Windows\System\Setup32.exe
C:\lymark.exe.bat

Luego, ejecuta el archivo LYMAK.EXE.BAT, que es el encargado de borrar las aplicaciones antivirus y los archivos de la carpeta Windows como veremos más adelante.

El gusano también modifica el archivo AUTOEXEC.BAT para que al reiniciarse la computadora, se proceda a formatear la unidad C. Esto funciona solo en Windows 95, 98 y Me.

También crea la siguientes entradas en el registro para autoejecutarse en próximos reinicios del sistema (si ya no se borraron los archivos mencionados antes):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = setup.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = Setup32.exe

Una vez activo, el gusano intentará enviarse a toda la libreta de direcciones del Outlook y Outlook Express, en un mensaje similar a los ya descriptos.

El gusano busca también la existencia del ICQ, intentando examinar archivos con extensión .UIN. Si los encuentra, se enviará a los contactos del ICQ, extraídos de dichos archivos, cuando alguno de esos usuarios esté conectado al programa.

El gusano también puede borrar los siguientes archivos, pertenecientes a conocidos productos antivirus:

C:\Progra~1\Avpersonal\Antivir.vdf
C:\Progra~1\F-prot95\Fpwm32.dll
C:\Progra~1\Kasper~1\Avp32.exe
C:\Progra~1\Mcafee\Scan.dat
C:\Progra~1\Norton~1\*.exe
C:\Progra~1\Norton~1\S32integ.dll
C:\Progra~1\Tbav\Tbav.dat
C:\Progra~1\Trojan~1\Tc.exe
C:\Tbav95\Tbscan.sig

Además, finaliza en memoria, cualquiera de los siguientes procesos que se está ejecutando:

_AVPM.EXE
APLICA32.EXE
AVCONSOL.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
LOCKDOWN2000.EXE
NAVAPW32.EXE
NAVW32.EXE
PCFWallIcon.EXE
TDS2-98.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE

Finalmente, borra todos los archivos de la carpeta C:\Windows. Si se reinicia después de haberse modificado el archivo AUTOEXEC.BAT, también puede formatear la unidad C.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\setup.exe
C:\Windows\System\Setup32.exe
C:\lymark.exe.bat

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

(Predeterminado) = setup.exe

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

(Predeterminado) = Setup32.exe

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit  c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre todas las líneas que contengan el comando FORMAT si ésta existiera: 

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com