Asunto: Mail to [dirección destinatario]

Texto:
I send you this patch.
It corrects a bug into Internet Explorer and Outlook.

Datos adjuntos: patch.exe


Asunto: Re: Fw:

Texto:
I received your mail but I cannot reply immediatly.
I send you a nice program. Look at this.
See you soon.

Datos adjuntos: funny.exe


Asunto: Hi [dirección destinatario] read this.

Texto:
I found this on the web and it is important.
Open the attached file and read.

Datos adjuntos: article.doc.exe

La ejecución del adjunto, acción que debe llevar a cabo el usuario que recibe el mensaje con un doble clic sobre él, provoca la infección del equipo.

El gusano se copia entonces en los directorios %Windows% (C:\Windows o C:\WinNT) y %System% (C:\Windows\System o C:\WinNT\System32), con los nombres de ARTICLE.DOC.EXE y un nombre al azar (Ej: WRRRRRRR.EXE, WVUUQ.EXE, etc.)

También crea un archivo temporal con el nombre de WARGAMES.VBS en el directorio %Windows%.

Este archivo es un gusano de Visual Basic Script detectado por algunos antivirus como W32/PetTick.vbs [ http://www.vsantivirus.com/pettick-a.htm ].

Luego, crea un archivo WININIT.INI en el directorio WINNT.

En Windows 2000 también agrega las siguientes entradas al registro de Windows, para autoejecutarse en cada reinicio del sistema:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
RUN=wrrrrrrr.exe

En Windows 9x en cambio, para lograr el mismo objetivo de autoejecución, modifica el archivo WIN.INI, en la sección [windows]:

run=wrrrrrrr.exe

También crea una falsa entrada en la carpeta "Agregar/Quitar Programas", con el nombre de "Wargames Uninstall"

HKLM\Software\Microsoft\Windows\CurrentVersion\
Uninstall\WarGames Worm

DisplayName = Wargames Uninstall
UninstallString = rundll32 mouse,disable

Si el usuario selecciona esta falsa opción de desinstalación, la acción que se intenta es deshabilitar el mouse.

El gusano también busca que algunos programas (y también algunos virus), puedan estar ejecutándose en la máquina infectada, e intenta detener su ejecución matando el proceso activo (la lista se muestra a continuación, e incluye conocidos programas antivirus y de seguridad y el código de algún virus como el "Goner" entre otros):

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LOAD.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

Cómo vimos al principio, para propagarse por medio de los mensajes infectados, el gusano usa tres maneras diferentes, y envía tres tipos de mensajes.

Primero, el gusano examina todos los archivos con extensiones .HTM, .HTML, .DOC y .XLS en los directorios de Windows, Favoritos, Archivos temporales de Internet, y en el Escritorio, extrae de los archivos encontrados todas las direcciones de correo presentes, y envía mensajes infectados a todas esas direcciones.

Luego, el virus crea y ejecuta el archivo WARGAMES.VBS en el directorio de Windows, el cuál contiene un script que se encarga de enviar los mensajes infectados a todos los contactos de la libreta de direcciones de Outlook.

Y finalmente, el gusano utiliza las funciones MAPI para leer la bandeja de entrada y "responder" a todos los mensajes allí existentes, por supuesto con un mensaje infectado.

Cómo borrar manualmente el gusano

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Ejecute un antivirus al día, y borre todos los archivos detectados como W32/Wargames, W32/Warga@MM o I-Worm.Wargam o similar.

2. Pinche en Inicio, Ejecutar, y teclee REGEDIT (o REGEDT32) (más ENTER).

3. En Windows 2000, borre la siguiente clave (RUN=[nombre al azar].exe)

HKEY_CURRENT_USER\Software\Microsoft\Windows NT
CurrentVersion\Windows\RUN=[nombre al azar].exe

4. En todos los Windows borre la siguiente clave (WarGames Worm):

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Uninstall\WarGames Worm

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. En Windows 9x, desde Inicio, Ejecutar, teclee WIN.INI (más Enter) y busque lo siguiente:

[windows]

run=[nombre al azar].exe

7. Modifique la línea "run=" de modo que quede así:

[windows]

run=

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm 

Referencias:

VSantivirus No. 497 - 17/nov/01
W32/PetTick.A. Para infectar usa mensaje sobre el Antrax
http://www.vsantivirus.com/pettick-a.htm


Glosario:

MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com