baby.exe
bboy.exe
boss.exe
casper.exe
cheeseburst.exe
chestburst.exe
cooler1.exe
cooler3.exe
copier.exe
cupid2.exe
farter.exe
fborfw.exe
g-zilla.exe
gadget.exe
goal.exe
goal1.exe
hog.exe
irngiant.exe
monica.exe
panther.exe
panthr.exe
party.exe
pirate.exe
saddam.exe
theobbq.exe
video.exe

El asunto del mensaje recibido es "Just for your eyes" (Solo para sus ojos). Existen otras variantes posibles y en algunos casos, el gusano agrega "Re": y algún texto (respuestas a mensajes almacenados en otras bandejas o carpetas).

Cuando se recibe el mensaje, y si no usamos un cliente de correo que soporte formato HTML, el cuerpo del mensaje muestra este texto en formato plano:

he, your lame client cant read HTML, haha.
click attachment to see some stunningly HOT stuff

De lo contrario despliega este texto en formato HTML:

http://stuart.messagemates.com/index.html


Hypercool Happy New Year 2000 funny programs
and animations...

We attached our recent animation from this site in our mail!
 Check it out!

La dirección de Internet es real, pero esa empresa no está relacionada con el virus.

Cuando se recibe un mensaje y se ejecuta el archivo infectado adjunto, el gusano toma el control y se instala en el sistema. Se copia con el mismo nombre conque se recibió en el mensaje (uno de la lista mostrada más arriba), en el directorio "C:\Windows" y modifica además el registro del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"tpawen" = "C:\WINDOWS\[nombre ejecutable] /x"

Donde [nombre ejecutable] puede ser cualquiera de los descriptos arriba, pero siempre el mismo del adjunto que se haya recibido con el mensaje.

Para esconder su actividad el gusano despliega este mensaje falso (note que la palabra "dinamic" está mal escrita en inglés, debería ser "dynamic"):

The dinamic link library giface.dll could not be found in
specified path

C:\WINDOWS;C:\WINDOWS\COMMAND

Los nombres de archivos en el path (la segunda línea del mensaje), varían en cada máquina, y depende del estado de la variable PATH especificada en AUTOEXEC.BAT en Windows 9x o configurada a través del panel de control en Windows NT.

El virus también crea y inicializa para su uso, estas claves del registro, que le indican las acciones ejecutadas, para no volver a realizarlas más tarde:

HKCU\Software\Microsoft\Windows
itn =
cat =
cd =
lk =
lms =
mda =
mde =

Las rutinas principales del gusano (hay dos y una trabaja en segundo plano), examinan periódicamente las unidades de disco, en busca de archivos relacionados con Internet (MS Mail, Outlook Express, Netscape Navigator y otros). Abre estos archivos y consigue de allí las direcciones de correo necesarias para enviarse a si mismo a ellas, con el propio gusano adjunto a los mensajes.

Para ello, y si encuentra el Outlook Express, escribe los siguientes archivos:

C:\Windows\mma.

(contiene las direcciones de email encontradas)

C:\Windows\mmail.

(contiene el directorio donde está el Outlook Express)

La lista de direcciones de correo es capturada también, verificando todas las carpetas en el Outlook Express y los mensajes recibidos.

En los próximos inicios de Windows, el virus se ejecuta, y una vez en memoria, espera una determinada cantidad de tiempo y entonces envía un mensaje de email a una de las direcciones listadas en el archivo "mma." con el formato mencionado al principio de esta descripción. Este proceso se repite.

Después del 12 de junio del 2000, el gusano borra la entrada relacionada con él del registro, de modo que no volverá a instalarse en el sistema al reiniciarse nuevamente el PC. Sin embargo, las copias del gusano quedan en el sistema y podrán activarse, si la fecha está mal configurada. También se ejecutará al menos la primera vez, enviándose antes de que el propio virus elimine su entrada en el registro.

Cada 3 segundos el gusano intenta conectarse a una computadora de Microsoft, bombardeándola con pings (ping-bomb) y logrando con esta acción un ataque de "denegación de servicio", DoS (Deny of Service), que bloquearía a dicha computadora.

Dependiendo de otras condiciones (y no de la fecha), el gusano intenta llamar a un número de teléfono seleccionado al azar de una lista (dial-up). Estos números parecen pertenecer a alguna compañía.

Variante: NewApt.b
Alias: I-Worm.NewApt.b, W32.NewApt.Worm.b, Worm.NewApt.b
Tamaño: 69,632 bytes

Esta variante difiere muy poco de la versión original. Posee una lista diferente de teléfonos para llamar a diferentes lugares, cuando esta parte de su rutina se activa. El gusano intenta bombardear con sucesivos "pings" (ping-bomb) a alguna computadora de Microsoft, después del 2 de febrero de 2000. También se desactiva a si mismo el 12 de julio. El resto de sus funciones es idéntico, habiendo sido aparentemente compilado con el mismo código fuente de la versión anterior.

Variante: NewApt.c
Alias: I-Worm.NewApt.c, W32.NewApt.Worm.c, Worm.NewApt.c
Tamaño: 69,632 bytes

Esta versión difiere ligeramente de las versiones anteriores del virus. Posee otros números telefónicas, diferentes a los anteriores. También intenta bombardear alguna computadora de Microsoft el 2 de febrero de 2000, y se desactiva a si mismo el 12 de julio. Todas las demás funcionalidades son idénticas a las variantes anteriores.

Variante: NewApt.d
Alias: I-Worm.NewApt.d, W32.NewApt.Worm.d, Worm.NewApt.d, Mike.2000, Win32/NewApt.73728.Worm.D
Tamaño: 73,728 bytes

Esta variante apareció el 10 de enero de 2000. Fue enviada a varias compañías en un mensaje proveniente de la dirección "sexybitch@porncity.com". Es ligeramente diferente a las anteriores. Posee una nueva y gran lista de números telefónicos a los que intenta llamar cuando se activa su payload (rutina maliciosa). Además los nombres de los archivos adjuntos a los mensajes enviados, cambian por los siguientes, siendo muchos de ellos abiertamente pornográficos:

Amateur.exe
Bizarre.exe
Ebony.exe
Hardcore.exe
Miscellan.exe
Blowjob.exe
Fatladies.exe
Hidcams.exe
Mixedbag.exe
Shemales.exe
Asians.exe
Cartoons.exe
Fetish.exe
Hidcam.exe
Gay.exe
Lesbians.exe
Pornstars.exe
Toys.exe
Babes.exe
Cumshot.exe
Group.exe
Mature.exe
Pregnant.exe
Weird.exe
Male.exe

El gusano también incluye un link adicional a un sitio porno (http://www.elephantlist.com) en el mensaje que envía, en lugar de "messagemates.com" como en las versiones anteriores.

Si el usuario ejecuta el archivo adjunto, el mensaje de error indicando la falta de la librería "giface.dll" se despliega, como en la versión original.

El gusano busca la presencia de Netscape, Outlook u Outlook Express, para localizar un servidor de correo. Luego, es capaz de conectarse directamente a ese servidor para enviar sus mensajes, utilizando el protocolo SMTP.

El 2 de marzo, el NewApt.D intentará llamar a los números telefónicos guardados en su código (diferentes a los que incluyen las anteriores versiones), y conectarse a una lista de servidores Web.

Cuando el gusano se ejecuta, el mismo crea una serie de claves en el registro, que le indican las acciones llevadas a cabo, para no volver a realizarlas más tarde.

Estas claves son:

HKCU\SOFTWARE\Microsoft\Windows
cat =
cd =
itn =
jk =
lms =
mda =
mde =

Adicionalmente, NewApt.D crea esta entrada en el registro:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Scandsks " = "C:\WINDOWS\[nombre ejecutable] /x"

Donde [nombre ejecutable] puede ser cualquiera de los descriptos arriba, pero siempre el mismo del adjunto que se haya recibido con el mensaje.

Esta versión también se quita por si sola del registro el 12 de julio.

Como remover el gusano

Para remover el gusano de una PC infectada, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver alguna de estas dos entradas (de acuerdo a la versión del virus). Si no existe ninguna de las dos, salte al punto 5 sin modificar nada:

"tpawen"        "C:\WINDOWS\[nombre ejecutable] /x"
"Scandsks "         "C:\WINDOWS\[nombre ejecutable] /x"

4. Pinche sobre el nombre "tpawen" o "Scandsks " y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Ejecute uno o más antivirus al día, y borre todos los archivos infectados.

Fuente: Network Associates, Sophos, Kaspersky, Symantec, Panda, Computer Associates, F-Secure.
(c) Video Soft - http://www.videosoft.net.uy