[vacío]
Check this out!
Important information for you. Read it immediately!
Mail Delivery System

Texto del mensaje: [uno de los siguientes]

[vacío]

Hey, try this file that I've found yesterday,
it's very useful!..check link
Http://www.%6%[***]tem/Body,.Html.%65x%65

See the attached file or go to
Http://www.%6[***]tem/TFAK.zip :D

The message cannot be represented in 7-bit ASCII
encoding and has been sent as a binary attachment

Datos adjuntos: [uno de los siguientes]

avpc antiav.exe
body,.html.exe
doc.exe

Cuando se ejecuta, crea los siguientes archivos:

c:\avpc antiav.exe
c:\body,.html.exe
c:\program files\dmcpl.exe
c:\program files\winrar\winrar.exe
c:\reshacker.exe
c:\windows\crustyworm2004.exe
c:\windows\doc.exe
c:\windows\mushy.exe
c:\windows\notepad.exe
c:\windows\security\emzy.exe
c:\windows\system\dennis.exe
c:\windows\system32\notepad.exe
c:\windows\system32\sb4cw.exe

Si alguna de esas carpetas no existen, el archivo no es creado (por ejemplo, "Program files" no existe por defecto en instalaciones de Windows en español). Algunas entradas aquí listadas poseen errores y tampoco son creadas.

El gusano sobrescribe utilidades legítimas de Windows, como el bloc de notas (NOTEPAD.EXE).

También se copia en las siguientes carpetas, para ejecutarse en cada reinicio de Windows (algunas de estas carpetas no existen en Windows en español):

c:\documents and settings\all users\start menu
\programs\startup\vpfw30s.exe

c:\windows\start menu\programs\startup\f-prot.exe

c:\winnt\profiles\all users\start menu
\programs\startup\cpf9x206.exe

Además, crea la siguiente entrada en el registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
(Predeterminada) = C:\Windows\System32\NOTEPAD.EXE

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Crusty = C:\Program Files\DMCPL.EXE

El gusano finaliza la ejecución de ciertas ventanas y deshabilita la posibilidad de invocar al administrador de tareas (CTRL+ALT+SUPR).

Para lo primero, cierra todas las ventanas que posean el siguiente título:

Command Prompt
LiveUpdate
Norton AntiVirus
Norton AntiVirus Quarantine
Payload
PC DOOR GUARD MANAGER
Quarantine
Registry Editor
RegRun II
System Restore
Windows Explorer
Windows Task Manager

Para lo segundo, el gusano crea el siguiente archivo para realizar los ataques distribuidos de denegación de servicio (DDoS):

c:\windows\crustykill.bat

El ataque consiste en el envío continuo de paquetes ICMP (pings) a los siguientes sitios de Internet:

www.microsoft.com
www.norton.com

También deshabilita la posibilidad de llamar al Administrador de tareas, creando la siguiente entrada en el registro:

HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableTaskmgr = "1"

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro malware con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\avpc antiav.exe
c:\body,.html.exe
c:\program files\dmcpl.exe
c:\program files\winrar\winrar.exe
c:\reshacker.exe
c:\windows\crustykill.bat
c:\windows\crustyworm2004.exe
c:\windows\doc.exe
c:\windows\mushy.exe
c:\windows\notepad.exe
c:\windows\security\emzy.exe
c:\windows\system\dennis.exe
c:\windows\system32\notepad.exe
c:\windows\system32\sb4cw.exe

c:\documents and settings\all users\start menu
\programs\startup\vpfw30s.exe

c:\windows\start menu\programs\startup\f-prot.exe

c:\winnt\profiles\all users\start menu
\programs\startup\cpf9x206.exe

IMPORTANTE: C:\WINDOWS\NOTEPAD.EXE es el bloc de notas de Windows, bórrelo solo si su equipo ha sido realmente infectado con este gusano.

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Crusty

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

(Predeterminada) = C:\Windows\System32\NOTEPAD.EXE

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\System

7. Pinche en la carpeta "System" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DisableTaskmgr = "1"

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Cómo recuperar NOTEPAD.EXE

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

NOTEPAD.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

NOTEPAD.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").

En Windows XP:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Expandir archivo"

3. En "Archivo para restaurar" escriba el nombre del archivo a restaurar:

NOTEPAD.EXE

4. En "Restaurar desde" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Expandir".


Información adicional

Activar el cortafuego de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Área Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com