c:\hot.pif
c:\windows\system32\0.exe
c:\windows\system32\d.exe
c:\windows\system32\winstart.pif

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea la siguiente entrada para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[valor] = [nombre del ejecutable]

Donde [valor] puede ser una de las siguientes cadenas:

Begin
begins
system

Y [nombre del ejecutable] uno de los siguientes:

c:\windows\system32\0.exe
c:\windows\system32\d.exe

NOTA: En el primero de estos nombres, "0" es el número cero.

El gusano se propaga por correo electrónico enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada.

Evita enviarse a aquellas direcciones cuyo nombre contenga alguna de las siguientes cadenas:

abuse
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
ruslis
samples
secur
sendmail
service
somebody
someone
sopho
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster

Utiliza su propio motor SMTP para enviar los mensajes. Para seleccionar el servidor, agrega al principio de los dominios de las direcciones seleccionadas, una de las siguientes cadenas:

gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.

Los mensajes enviados tienen las siguientes características:

De: [dirección falsa]

Puede utilizar direcciones creadas con alguno de los siguientes nombres, más un dominio seleccionado al azar de las direcciones recolectadas en la máquina infectada:

alice
andrew
brenda
brent
brian
claudia
david
debby
george
helen
james
jerry
jimmy
julie
kevin
linda
maria
michael
peter
robert
sandra
smith
steve

También puede seleccionar uno de los siguientes dominios para crear la dirección del remitente:

aol.com
ayna.com
hotmail.com
maktoob.com
microsoft.com
msn.com
usa.com
usa.net
yahoo.com

Asunto: [uno de los siguientes]

- hehe, watch this
- lol, don't forget to watch this video
- LOL, this shit is funny
- look at this video
- your going to like this :D

Texto del mensaje: [uno de los siguientes]

Dear user [nombre usuario],
You have successfully updated the password of your
[dominio] account.
If you did not authorize this change or if you need
assistance with your account, please contact [dominio]
customer service at: [dominio]
Thank you for using [dominio]!
The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio] Antivirus - www.[dominio]


Dear user [nombre usuario],
It has come to our attention that your [dominio] User
Profile ( x ) records are out of date. For further
details see the attached document.
Thank you for using [dominio]!
The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio] Antivirus - www.[dominio]


Dear [dominio] Member,
We have temporarily suspended your email account [nombre
usuario].
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e.
change of address).
2. Submiting invalid information during the initial sign
up process.
3. An innability to accurately verify your selected
option of subscription due to an internal error within
our processors.
See the details to reactivate your [dominio] account.
Sincerely,The [dominio] Support Team
+++ Attachment: No Virus (Clean)
+++ [dominio] Antivirus - www.[dominio]


Dear [dominio] Member,
Your e-mail account was used to send a huge amount of
unsolicited spam messages during the recent week. If you
could please take 5-10 minutes out of your online
experience and confirm the attached document so you
will not run into any future problems with the online
service.
If you choose to ignore our request, you leave us no
choice but to cancel your membership.
Virtually yours,
The [dominio] Support Team
+++ Attachment: No Virus found
+++ [dominio] Antivirus - www.[dominio]

Datos adjuntos: [uno de los siguientes]

crazy5.scr
crazyjump.scr
exposed.scr
funny1.scr
funny2.scr
funny3.scr
haha.scr
lucky.scr
mjackson.scr
picture1.scr

El gusano puede propagarse por recursos compartidos en redes con contraseñas débiles. Busca recursos IPC$, y se copia en ellos.

Busca algunas de las siguientes carpetas compartidas pertenecientes a archivos de intercambio P2P:

\eDonkey2000\Incoming
\Kazaa Lite\My Shared Folder
\kazaa\my shared folder
\LimeWire\Shared
\Morpheus\My Shared Folder
\my downloads

También busca todas las carpetas que contengan la cadena "My Shared Folder" en su nombre o camino.

En todos los casos, se copia en cada carpeta encontrada con algunos de los siguientes nombres:

activation_crack.exe
Alcohol_120%%_patch.exe
Angilina_Jolie_Sucks_a_Dick.exe
Backdoor Capabilities.exe
Britney_Spears_sucks_someones_dick.scr
BritneySpears_SoSexy.exe
DAP7.4.x.x_crack.exe
DarkAngel_Lady_get_fucked_so_hardly.exe
dcom_patch.exe
icq2006-final.exe
Install_Dir.exe
JenniferLopez_Film_Sexy_Enough.exe
KAV2006_Crack.exe
lcc-win32_update.exe
LimeWire_speed++.exe
Madonna_the_most_sexiest_girl_in_the_world.com
Mariah_Carey_showering_in_bathroom.com
MSN7.0Loader.exe
MSN7.0UniversalPatch.exe
nice_big_asshole_fuck_Jennifer_Lopez.scr
NortonAV2006_Crack.exe
notepad++.exe
nuke2006.exe
office_crack.exe
Opera8.exe
Outlook_hotmail+_fix.exe
RealPlayerv10.xx_crack.exe
rootkitXP.exe
strip-girl-3.0.exe
TaskCatcher.exe
YahooMessenger_Loader.exe
ZoneAlarmPro6.xx_Crack.exe

El componente BOT que el gusano ejecuta, intenta conectarse a un canal de IRC en un servidor predeterminado, y queda a la espera de comandos de un usuario remoto.

Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado:

- Actualizarse a si mismo
- Borrar archivos
- Descargar archivos
- Ejecutar archivos
- Ejecutar otros comandos de IRC
- Obtener información del equipo infectado
- Reiniciar la computadora

El gusano intenta finalizar los siguientes procesos, pertenecientes a conocidos programas de seguridad (antivirus, cortafuegos, etc.):

_avpcc.exe
_avpm.exe
_findviru.exe
ackwin32.exe
alogserv.exe
amon.exe
anti-trojan.exe
apvxdwin.exe
atguard.exe
ave32.exe
avkserv.exe
avnt.exe
avpcc.exe
avpm.exe
avwin95.exe
blackice.exe
claw95cf.exe
cmgrdian.exe
ecengine.exe
esafe.exe
findviru.exe
fprot.exe
f-prot95.exe
fp-win.exe
guarddog.exe
iamapp.exe
iomon98.exe
kavpf.exe
lookout.exe
navapsvc.exe
navapw32.exe
navnt.exe
navw32.exe
navwnt.exe
nod32.exe
nsplugin.exe
ogrc.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
rav7.exe
rulaunch.exe
scan32.exe
spider.exe
vet95.exe
vettray.exe
vsmain.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zonalarm.exe
zonalm2601.exe
zonealarm.exe

Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.


Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.


Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com