Ejemplo 1:

Asunto: Microsoft Windows Patch
De: "Microsoft" <support@microsoft.com>
Reply-To: "Microsoft" <microsoft@microsoft.com>
Datos adjuntos: install.exe

Texto:
Please open the attachment if want to get supprise!

Ejemplo 2:

Asunto: Re:hya
De: "Microsoft" <support@microsoft.com>
Reply-To: "Microsoft" <microsoft@microsoft.com>
Datos adjuntos: install.exe

Texto:
Please open the attachment if want to get supprise!

Cuando se ejecuta el archivo adjunto, el gusano muestra una ventana con el siguiente mensaje:

Happy Birthday My!
Merdeka!
[  OK  ]

Luego se copia en la siguiente ubicación:

c:\windows\system\[XXX].exe

Donde [XXX] pueden ser uno, dos o tres números al azar.

Ejemplos:

2.exe
567.exe
93.exe

NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).

También copia el siguiente archivo, que contiene al gusano, codificado en formato MIME64 (es el código enviado por correo electrónico al propagarse):

c:\b46.log

Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nero.ma = c:\windows\system\[XXX].exe

El gusano obtiene luego la dirección de correo electrónico y direcciones IP del servidor SMTP del usuario infectado, además de una lista de direcciones electrónicas obtenidas de todos los archivos con extensión .HTM del disco duro, y de todos los archivos de la carpeta de archivos temporales de Internet. Luego utiliza su propia rutina SMTP (no depende del programa de correo instalado), para enviarse a todas las direcciones localizadas, en mensajes como los ya descriptos.

El gusano también puede utilizar un servidor SMTP predefinido en su código, para enviarse.

Cada vez que se ejecuta, el gusano registra su propio proceso como un servicio. De ese modo queda oculto en la lista de procesos de algunas versiones de Windows.

También examina si alguno de los procesos activos contiene algunas de las siguientes palabras en su nombre:

ALERT
ANTIVIR
FIREW
MCAFEE
NOD32
PCCW
SCAN
SWEEP
TDS2-
TRAP
VSHW

Si esto se cumple, finaliza los procesos relacionados, desactivando el antivirus instalado (los nombres corresponden a conocidos productos antivirus).


Reparación manual

Remoción del troyano utilizando "Process Explorer"

Antes de eliminar este troyano, es necesario detener su ejecución en memoria. Puede usarse el administrador de tareas de Windows, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.

Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), el/los siguientes procesos:

[XXX].EXE

Donde [XXX] son uno, dos o tres números al azar. Ejemplos:

2.EXE
567.EXE
93.EXE

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\[XXX].exe

Donde [XXX] pueden ser uno, dos o tres números al azar.

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Nero.ma

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com