account 
admin 
Administrator 
AutoMailer 
Error_Info 
Fehler-Info 
Home 
Info 
Information
Kundenservice 
Liste 
Passwort 
Register 
RobotMailer 
Schwarze-Liste 
Service 
User-info 
Webmaster 
webmaster

También utiliza algunas direcciones coleccionadas en el sistema, y que tengan el siguiente dominio:

@abuse.de 
@freenet.de 
@gmx.de 
@gmx.net 
@lycos.de
@web.de 
@yahoo.com 
@yahoo.de 

Asunto: [uno de los siguientes]

Bad Gateway
Best
Confirmation Required
Connection failed
damn!
Datenbank-Fehler
Details
Einzelheiten
Faulty mail delivery
Fehler
Fehler in E-Mail
Fehlerhafte Mailzustellung
Hallo Du!
Hallo!
Hey
Hey Du
hey you
Hi!
Hi, Ich bin's
Hi, it's me
Ich bin es .-)
Ihr neues Passwort
Ihr Passwort
Illegal signs in Mail-Routing
Illegale Zeichen in Mail-Routing
Info
Information
Invalid mail sentence length
Mail delivery failed
Mail Delivery failure
mail delivery status
Mail Error
Mailzustellung fehlgeschlagen
Message Error
Na,
Oh my God
Registrierungs-Best
Ung
Verbindung fehlgeschlagen
Verdammt
Warning!
Warnung!
Well, surprise?!
Your document
Your mail account
Your mail-account
Your password

Texto del mensaje: [uno de los siguientes]

Ich war auch ein wenig
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann

Alles klaro bei dir?
Schau mal was Ich gefunden habe!
Meinst Du das wirklich?
Dokument
KurzText

Sieh mal nach ob du den Scheiss auch bei dir drauf 
hast! Ist ein ziemlich nervender Virus. Mach genau 
das, wie es im Text beschrieben ist!
Bye

AntiVirus-Text
Anleitung
Ich habs dir doch gesagt, irgendwann schaffe ich es 
deine Passw
Passwoerter.txt
Details entnehmen Sie bitte dem Attachment Dokumente
Text-Inhalt

*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen 
werden.
Bitte
attach:
AMD-System.txt
* End Transmission
--- Web: http://www.(domain name)
--- Mail To: User-Hilfe

Passwort und Benutzername wurde erfolgreich ge
Ihre Benutzernamen und Passw
++++ Im www erreichbar unter: http://www.(domain name)
++++ E-Mail: KundenInfo

Benutzer-Daten
Wegen eines Datenbank- Fehlers k
Wenn Sie Unregelm
Vielen Dank f
+++ Ein Service von
+++ http://www .(domain name)
+++ E-Mail: Kundenservice

Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- 
Seiten besuchen.
Bitte beachten Sie folgende Liste:
Liste
Schwarze-Liste

***
Mail- Anhang: Keine verd
Mail Scanner: Kein Virus gefunden
Anti- Virus: Es wurde kein Virus erkannt
Virenschutz
*** http://www.(domain name)

I was surprised, too! :-(
Who could suspect something like that?
shock

All OK :)
see, what i've found!

hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye

I 've told you!:-) sometime I grab your passwords!
your_passwords
I hope you accept the result!

Follow the instructions to read the message.
Please read the document

Your password was changed successfully.
Protected message is attached.
++++ Service: http://www.(domain name)
++++ Mail To: User-info

67.28.114.32_failed_after_I_sent_the_message./
Remote_host_said:_554_delivery_error:_dd_
Sorry_your_message_cannot_be_delivered._
This_account_has_been_disabled_or_discontinued_[#102]. 
_-_mta134.mail.dcn.com
** End of Transmission

The original message is a separate attachment.
--- Mail To: UserHelp
Error_Info
_attach
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ Mail: home

Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha

Mail- Attachment: No suspicious Virus signatures
Mail Scanner: No Virus found
Anti-Virus: No Virus!

Datos adjuntos: [uno de los siguientes]

Administrator
AMD-System.txt
anitv_text
AntiVirus-Text
attach-message
AutoMailer
Benutzer-Daten
block-lists
check_this
corrected_text-file
database
database_partial
Datenbank_Auszug
dokument
error
Error_Info
error-message
Fehler-Info
help
instructions
kurztext
message
Money-Help
partial
pass-message
pmessage-text
RobotMailer
Schwarze-Liste
textdocument
Text-Inhalt
User-info
webmaster
your_article
your_passwords

La extensión del archivo puede ser .PIF o .ZIP, en este último caso, conteniendo uno de los archivos .PIF.

Los nombres pueden contener un número al azar al comienzo, y "_attach" al final. Ejemplos:

3message.pif
AutoMailer_attach.zip

Cuando se ejecuta, el gusano se copia en la carpeta System (o System32) de Windows con nombres al azar. También puede crear una copia con un nombre al azar, el que está formado por la combinación de algunos de los siguientes elementos más la extensión .EXE:

32
crypt
data
diag
dir
disc
explorer
host
log
run
service
smss32
spool
sys
win

Por ejemplo: "data32.exe". También crea otros archivos:

c:\windows\system\[nombre].exe
c:\windows\system\bcegfds.lll
c:\windows\system\spoofed_recips.ocx
c:\windows\system\syst32win.dll
c:\windows\system\winhex32xx.wrm
c:\windows\system\winsys32xx.zzp
c:\windows\system\zhcarxxi.wx
c:\windows\system\zmndpgwf.kxx

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Mantiene dos procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro. Dos de los archivos copiados en el sistema (los que poseen nombres al azar), se encargan de monitorear esto, y de crear de inmediato una nueva copia, por lo que la limpieza debe hacerse en modo a prueba de fallos.

Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run\[nombre al azar]
[nombre al azar] = c:\windows\system\[nombre al azar]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
[nombre al azar] = c:\windows\system\[nombre al azar] %1

En Windows XP crea la siguiente entrada:

HKU\S-1-5-21-??????????-??????????-?????????-???
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system32\[nombre al azar]

Luego, se envía a direcciones electrónicas obtenidas de determinados archivos de la máquina infectada, en mensajes con asuntos, textos y nombres de adjuntos variables. Los adjuntos poseen extensiones .PIF y .ZIP.

Si el sistema no está conectado a Internet, el gusano intenta conectarse utilizando cualquier conexión telefónica disponible. Puede mostrar también una ventana con el siguiente mensaje:

Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall

El gusano busca las direcciones de correo electrónico para enviarse, en archivos con las siguientes extensiones, en todas las unidades de disco duro:

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bas
.cfg
.cgi
.cls
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.ods
.oft
.php
.pl
.pp
.ppt
.pst
.rtf
.shtml
.sln
.tbb
.txt
.uin
.vap
.vbs
.wab
.wsh
.xls
.xml

Las direcciones obtenidas, son almacenadas en el siguiente archivo:

c:\windows\system\syst32win.dll

El gusano evita enviarse a direcciones que contengan alguno de los siguientes textos:

@arin
@avp
@ca.
@foo.
@iana
@ikarus.
@kaspers
@messagelab
@msn
@nai.
@ntp.
@panda
@sophos
abuse
antivir
clock
domain.
emsisoft
ewido.
free-av
freeav/
freenet.de
gmx.de
gmx.net
google
host.
linux
lycos.de
mailer-daemon
microsoft.
mozilla
ntp-
ntp@
office
password
postmas
redaktion
service
support
symant
time
variabel
verizon.
viren
virus
web.de
winrar
winzip
yahoo.com
yahoo.de

Reparación manual

Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\[nombre].exe
c:\windows\system\bcegfds.lll
c:\windows\system\spoofed_recips.ocx
c:\windows\system\syst32win.dll
c:\windows\system\winhex32xx.wrm
c:\windows\system\winsys32xx.zzp
c:\windows\system\zhcarxxi.wx
c:\windows\system\zmndpgwf.kxx

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a los descriptos antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
\[nombre al azar]

3. Pinche en la carpeta "[nombre al azar]" y bórrela

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce

5. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

[nombre al azar] = c:\windows\system\[nombre al azar] %1

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_USERS
\S-1-5-21-??????????-??????????-?????????-???
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

[nombre al azar] = c:\windows\system32\[nombre al azar]

Donde [nombre al azar] está formado por la combinación de algunos de estos elementos:

32
crypt
data
diag
dir
disc
explorer
host
log
run
service
smss32
spool
sys
win

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com