• LET US UNITE, THE WAR HAS STARTED !
• NOW OUR MISSION: DEATH ? THE WAR HAS STARTED !
• THE WORLD WAR THREE IS HERE ! THE WAR HAS STARTED !
• REMEMBER OUR LOST SOULS ! THE WAR HAS STARTED !
• WAR SCENES FROM IRAQ ! THE WAR HAS STARTED !
• WORLD TRADE CENTER, REVENGE ! THE WAR HAS STARTED !
• IRAQ WITHOUT ELECTRICITY ? THE WAR HAS STARTED !
• IRAQ, GETTING STRONGER OR WEAKER ? THE WAR HAS STARTED !
• IRAQ SURRENDERING !? THE WAR HAS STARTED !
• USA PREPARED FOR ATTACKS, THE WAR HAS STARTED !

Texto:

[destinatario], THE WAR IS NOT A JOKE !...
THERE IS ONE BUILDING UP RIGHT NOW
Let's Unite In This Horrible Kaos.
Win2K... Fight With Us....!!!
...And Let Us Remember Those Lost Souls !
WE COUNT ON YOU ! Win2K Greetings,
World War Veterans.
PS- See Attachments For War Info.

Datos adjuntos: USA.VS.IRAQ.scr, Plug-In_EXT.dll

Al ejecutar el adjunto, el gusano se copia a si mismo en las siguientes ubicaciones:

C:\Autorun.com
C:\NT-Help.com
C:\Op_Me.co_
C:\Windows\WTC32.SCR
C:\Windows\Notepad.exe

Si la carpeta de la versión instalada del sistema operativo no es "c:\windows", el gusano falla en su acción de copiarse allí.

El gusano también crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
W32Tc = C:\Windows\WTC32.scr

También modifica la página de inicio del Internet Explorer:

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = C:\Windows\WTC32.scr

Otros cambios en el registro:

HKLM\Software\Microsoft\Windows NT\CurrentVersion
RegisteredOwner = YOU ARE A VICTIM OF THE
RegisteredOrganization = WORLD TRADE CENTER
ProductName = W32.HLLP.I-Worm.WTC.03

Cuando se ejecuta, el gusano muestra una ventana con el siguiente texto:

WORLD TRADE CENTER
WE WILL ALWAYS REMEMBER THOSE LOST SOULS...
[ OK ]

Cuando inicia su auto envío masivo, muestra ventanas con un título seleccionado de la siguiente lista:

VICTIM # 5568
VICTIM # 6734
VICTIM # 8635
VICTIM # 5764
VICTIM # 5775
VICTIM # 8643
VICTIM # 434
VICTIM # 6480
VICTIM # 680
VICTIM # 696
VICTIM # 9375
VICTIM # 236
VICTIM # 187
VICTIM # 6545
VICTIM # 4574
VICTIM # 4874
VICTIM # 4765
VICTIM # 5475
VICTIM # 547

Y uno de los siguientes textos:

YO NUNCA OLVIDARE A LOS BORICUAS DEL WTC

FUCK THE WTC, LET THEM DIE AND FUCK THEM !!!!

QUE SE JODAN!!!

MOM NEVER CAME BACK
MAYBE SHE WAS FUCKING MY PSYCHOLOGIST

WE WILL ALWAYS REMEMBER THOSE LOST SOULS...

I HAVE FUCKED MORE THEN 27 WOMEN

I AM A SICK PERVERT, I'M ALWAYS THINKING ABOUT
IF I COULD'VE FUCKED MY AUNT BEFORE
SHE DIED IN THE WTC !!!!

MY GIRLFRIEND WAS FUCKING MY BEST FRIEND
BUT HIS GIRLFRIEND DOESN'T WANT TO FUCK WITH ME.
OH, COME ON !!!!

I LOVED MY GIRLFRIEND. I GUESS SHE NEVER CAME
BACK BECAUSE SHE DIED CUMMING
WHILE FUCKING MY FATHER

LORENA, I WANT TO FUCK YOU BEFORE THE 3 PLANE
ARRIVES.....SHITT !!!!

I WILL FUCK LORENA
BEFORE OSAMA ARRIVES WITH HIS MISSILE

MY MOTHER DIED ON THE NINTH FLOOR

MY GIRLFRIEND DIED FUCKING HER BOSS.....SHITT !!!!

MY SISTER WAS FUCKING MY BROTHER
BUT SHE HAS NEVER FUCKED WITH ME

I WAS FUCKING MY STEP MOTHER
WHILE SHE SCREAMED : WATCH OUT FOR THAT PLANE... !

I WAS FUCKING THE STATUE OF LIBERTY
WHILE BUSH WAS FUCKING HIS GRANDMA

BILL CLINTON WAS SUCKING MY DICK DURING THE BOMBING
LORENA, MY SISTER FUCKED ME BEFORE SHE SUCKED
BILL CLINTON'S DICK.....SHITT !!!!

MY SISTER FUCKED BUSH

I FUCKED MY STEP SISTER
BUT SHE NEVER MADE ME CUM

I FUCKED MY ART TEACHER
BUT SHE NEVER GAVE ME AN A...! DAMN !!!

El gusano lleva un contador de los mensajes enviados en la siguiente clave del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion
WtcSnd = [valor]

El gusano también busca en todas las unidades del disco duro, archivos con las siguientes extensiones, y los sobrescribe con su código, siendo imposible su recuperación si no se restauran desde un respaldo, o reinstalando:

.exe
.scr

Luego, borra los archivos con las siguientes extensiones:

.wav
.mp3
.jpg
.bmp
.zip
.rar
.doc

Y se copia él mismo con los nombres de los archivos borrados, pero agregándole la extensión .EXE.

Por ejemplo, borra un archivo NOTA.DOC y crea uno llamado NOTA.DOC.EXE que es el propio gusano.

Luego, borra todos los archivos .DLL en la carpeta C:\Windows\System32, dejando al sistema inoperativo.


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior, aunque seguramente, si la rutina destructiva se llegó a ejecutar, la única solución efectiva sea reinstalar todos los programas y aplicaciones, incluido Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Autorun.com
C:\NT-Help.com
C:\Op_Me.co_
C:\Windows\WTC32.SCR
C:\Windows\Notepad.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

W32Tc

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion

5. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, cambie los siguientes valores:

RegisteredOwner = YOU ARE A VICTIM OF THE
RegisteredOrganization = WORLD TRADE CENTER
ProductName = W32.HLLP.I-Worm.WTC.03

Por los suyos:

RegisteredOwner = [su nombre]
RegisteredOrganization = [vacío]
ProductName = [versión de Windows, por ej.: Windows 98]

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion

7. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

WtcSnd

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main

9. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada:

Start Page

10. Pinche en "Start Page" y modifique el valor "C:\Windows\WTC32.scr" por el valor "about:blank".

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Cómo recuperar NOTEPAD.EXE

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

NOTEPAD.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

NOTEPAD.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").


Información adicional

Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com