PLATÔNICO.TXT            .SHS

Entre ambas extensiones existen 76 espacios vacíos. La intención es hacer parecer al gusano como un archivo de texto (Platônico.txt). Tenga en cuenta que aún visualizando las verdaderas extensiones, deberá ampliar el ancho visualizado de la columna para ver la segunda extensión.

Cuando este archivo se ejecuta (doble clic), el mismo invoca al bloc de notas, el cuál se abre conteniendo un texto en portugués que simula ser de sexo explícito, cuando se trata de un chiste.

El gusano también instala un troyano de IRC de acceso remoto, del tipo Backdoor (IRC/Pila.A)

El gusano también examina la presencia de un archivo C:\File0004.CHK. Si no lo encuentra, entonces crea el archivo PLATÔNICO.TXT y entonces abre el bloc de notas para desplegar el siguiente contenido:

Satânico é o meu pensamento ao teu respeito e ardente é o meu desejo de apertar-te em minhas mãos, uma sede de vingança incontestável pelo que me fizeste ontem.A noite quente e calma chegara a ser angustiosa. Apareceste e nesta cama aconteceu... Sorrateiramente te aproximaste... Sem o mínimo pudor... Encostaste o teu corpo sem roupa no meu corpo nú. Percebendo a minha aparente indiferença, aconchegaste-te a mim, e mordeste-mesem escrúpulos até os mais íntimos lugares jamais tocados de meu casto corpo. E adormeci... Hoje, quando acordei, procurei-te numa ânsia ardente, mas em vão...Deixaste provas irrefutíveis do que ocorreu na noite que passou. Grandes manchas no meu corpo e o alvo lençol salpicado de sangue. Esta noite recolho-me mais cedo para, na mesma cama te esperar. Oh! Quando chegares, nem quero pensar com que perspicácia, avidez e força eu quero te pegar para que não escapes mais de mim. Em minhas mãos quero apertar-te até o fim. Não haverá parte do teu corpo que os meus dedos não passarão. Não descansarei enquanto ver sair o sangue quente de teu corpo. 

Só assim livrar-me-ei de ti PULGA MALDITA.

Luego, copia su código en el archivo EXPLORER.DLL.VBS en el directorio de Windows:

C:\Windows\EXPLORER.DLL.VBS

Luego modifica la entrada SHELL en el archivo SYSTEM.INI bajo la sección [boot]:

[boot]
shell=explorer.exe explorer.dll.vbs

Esto hace que EXPLORER.DLL.VBS (el propio gusano), se ejecute en cada reinicio de Windows.

También crea otra copia de su código en el directorio de Windows, en el siguiente archivo:

C:\Windows\PLATÔNICO.TXT         .SHS

El gusano genera el mensaje a propagar con uno de los siguientes Asuntos:

Texto imperdível!
Texto muito engraçado!
O melhor texto que li nos últimos tempos...

Cuerpo del mensaje:

................................................
Olá!!
Não posso falar muito sobre o texto porque se não perde a 
graça, é uma história de amor platônico... Achei muito 
engraçado vale a pena!!
.... .... . ..... ..... .... . ... .....
..... .... .... . . .... ..... ....

Archivo adjunto: Platônico.txt .shs

Luego se envía a todas las direcciones de la libreta del Outlook, borrándose los mensajes enviados de la carpeta "Elementos enviados"

Luego crea un archivo llamado File004.CHK en el raiz de la unidad C:\, como marca de la infección del sistema.

El archivo (que simula ser generado por la utilidad Scandisk al reparar un disco duro), contiene en realidad el siguiente texto:

"Estufa co." inside.

El gusano examina el sistema en busca de unidades de disco duro en la máquina local, de unidades compartidas en red, y de unidades removibles existentes.

En estas unidades se copia a si mismo con el nombre de:

PULGA.TXT.SHS

Busca examina la presencia del cliente de chat mIRC, buscando el archivo MIRC.INI.

Si encuentra este archivo, procede a modificarlo de la siguiente manera:

[rfiles]
n%X%=addonGUI.dll 

[fileserver]
warning=off 

[warn]
fserve=off 

[Perform]
n%X%=/Remote ON

%X% es una variable que hace referencia a un número.

MIRC.INI es el archivo de configuración del mIRC, y mientras lo modifica, el virus crea el archivo temporal: WINAMOD.DAT

También libera el archivo ADDONGUI.DLL (un troyano detectado como IRC/Pila.A), que en realidad es un script de mIRC, que permite acceder por la puerta trasera (backdoor).

También crea los archivos FILE0001.CHK.VBS y FILE0002.CHK.VBS en el raíz de la unidad c:\.

El contenido de estos dos archivos es un script de Visual Basic con comandos para listar los archivos o directorios de las unidades especificadas, y escribir este contenido en los siguientes archivos:

FILE0001.TXT 
FILE0002.TXT

El código del gusano contiene el siguiente texto:

Pilantra.i-worm Pilantra virus "Penso logo existo, se
existo, logo sou" 'By:Lucky Germany. It´s a great Idea..!

IRC/Pila.A

Nombre: IRC/Pila.A
Tipo: Caballo de Troya
Alias: IRC_PILA.A, Pilantra, Pilantra.i-worm, I-Worm.Pila
Tamaño: 3,405 Bytes

Este script de IRC con características de Backdoor, es liberado por el VBS/Pila.A en una máquina infectada. Esto permite a un atacante remoto, un acceso limitado a la computadora infectada.

Este script de mIRC, configura a este programa de chat para funcionar clandestinamente en segundo plano, como un backdoor (puerta trasera), que permite un limitado acceso al sistema infectado por parte de un atacante, siendo algunas de estas posibles acciones:

1. Tomar una lista de directorio y archivos
2. Leer el contenido de los archivos
3. Recibir notificaciones del canal de IRC desde sistemas comprometidos.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH, recomendamos el siguiente artículo:

Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm


Para limpiar manualmente un sistema infectado

1. Pinche en Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

3. Busque la siguiente línea:

shell=Explorer.exe explorer.dll.vbs

4. Modifíquela para que quede así:

shell=Explorer.exe

5. Salga del bloc de notas y cuando se le pregunte, seleccione guardar los cambios en SYSTEM.INI

6. Busque y borre desde el explorador de Windows los siguientes archivos:

C:\File0004.CHK
C:\File0001.txt
C:\File0002.txt
C:\winamod.dat

7. Pinche en Inicio, Ejecutar, teclee MIRC.INI y pulse Enter.

8. Busque las siguientes líneas (%X% representa un número):

[rfiles]
n%X%=addonGUI.dll

9. Borre la línea: n%X%=addonGUI.dll

10. Busque lo siguiente:

[fileserver]
warning=off

11. Borre la línea warning=off 

12. Busque lo siguiente:

[warn]
fserve=off

13. Borre la línea fserve=off

14. Busque lo siguiente:

[Perform]
n%X%=/Remote ON

15. Borre la línea n%X%=/Remote ON

16. Salga del bloc de notas y cuando se le pregunte, seleccione guardar los cambios en MIRC.INI. 

17. Examine su sistema con dos o más antivirus actualizados y borre los archivos detectados como Pila.A, VBS_PILA.A, IRC_PILA.A, I-Worm.Pila, Pilantra.i-worm o Pilantra virus.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas".

3. Seleccione la lengüeta "Ver".

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos".

En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo".

6. Pinche en "Aplicar" y en "Aceptar".


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com