Asunto: Mail Delivery Return System
Datos adjuntos: MailFile.mht

Texto del mensaje:
El Mensage que envio no pudo ser entregado a uno
o más destinatarios

Opción 2:

Asunto: Invitacion
Datos adjuntos: www.ftpfree.mht

Texto del mensaje:
Lo invitamos a visitar nuestro nuevo sitio FTP, donde
podra acceder a una gran cantidad de contenidos y
archivos. Un Servicio de FreeServer, para entrar pulse
sobre el enlace enviado.

Opción 3:

Asunto: Microsoft Internet Explorer
Datos adjuntos: Microsoft Bulletin 207.mht

Texto del mensaje:
Microsoft advierte de una nueva vulnerabilidad en el
navegador Internet Explorer 5.X y 6.X, que podría, hacer
que un atacante, tomara el control de una pc afectada,
muy facilmente, se ruega leer el boletin adjunto y descargar
el parche para solucionar este problema. Att. Microsoft
Corporation.

Opción 4:

Asunto: Models
Datos adjuntos: www.Models.mht

Texto del mensaje:
Models a renovado su site, y lo(a) invita a visitar la
coleccion de fotografías de las(o) modelos y artistas mas
conocidos. Pulse sobre el enlace enviado para entrar.

Opción 5:

Asunto: Games OnLine
Datos adjuntos: www.gmol.mht

Texto del mensaje:
Visita nuestro nuevo site, donde podras descargar gran
cantidad de juegos, o entrar a nuestras salas de
multijugadores online, la seccion de juegos 3D esta
recomendada. Pulsa el enlace enviado para entrar.

Opción 6:

Asunto: Buscas Amistad o Amor?
Datos adjuntos: www.rdA.mht

Texto del mensaje:
Quieres conocer amigas y amigos o buscas pareja?
Visita nuestro site y conoce a gente como tú Pulsa el
enlace enviado para entrar.

Opción 7:

Asunto: Adivinanzas y Trivias
Datos adjuntos: Trivia.mht

Texto del mensaje:
Te gustan las trivias, leyendas, anecdotas, refranes,
chistes, test y adivinanzas. Entonces visita nuestra
page y mira los que te enviamos. Pulsa el enlace
enviado para entrar.

Opción 8:

Asunto: Te Estan Espiando?
Datos adjuntos: NoHabrasEsto.mht

Texto del mensaje:
Esta proliferando el Spyware (Software Espía), que
instalan programas como Kazaa, Grokster, entre otros.
El Spyware informa a los servidores del programa que lo
instaló, sobre las paginas que visitas y demás habitos
de navegacion, con los cuales ellos elaboran perfiles
comerciales de usuario Y a diferencia de los troyanos,
son legales ya que al instalar estas aplicaciones nos
aparece un contrato en ingles(que la mayoría no leemos),
y al aceptar estamos permitiendo esto, por lo que muchos
antivirus no los detectan, y lo peor es que si le sacamos
el Spyware, muchos de estos programas dejan de funcionar,
Esto es una burla para nosotros los usarios. Prueba la
herramienta AntiSpyware Ad-aware(gratuita), que puedes
obtenerla en http://www.lavasoft.de ,una de las mejores
que he encontrado. Gracias por darte tiempo para leer
esto, no dejemos que esto continue.

Opción 9:

Asunto: Series, Peliculas, Telenovelas
Datos adjuntos: EnterTvRed.mht

Texto del mensaje:
Quieres descargar alguna pelicula, capítulos de una serie
o novela o encontrar resumenes, adelantos y fotos, o tal
vez saber más de sus protagonistas? Entonces busca en
nuestra base de datos, pulsa el enlace enviado para entrar.

Opción 10:

Asunto: Confirmacion de Suscripción
Datos adjuntos: Boletin N.205.mht

Texto del mensaje:
Su dirección de correo electronico, fue dada de alta para
recibir nuestro boletín, para confirmar que fue usted el
que ingreso su direccion o darse de baja, escriba al email
que aparece al final del boletín. Att.

El adjunto es un documento HTML con el gusano propiamente dicho, embebido en un código en Java Script encriptado.

Cuando el script se ejecuta (al visualizar el adjunto HTML), el gusano examina si la extensión del archivo desde donde se ejecutó es .MHT. Si es así, entonces una copia del script es creada en el directorio raíz de la unidad C:, con la extensión .HTA.

Si el lenguaje de Windows contiene la cadena "es" (como Español, Portugués), un mensaje de error falso es mostrado:

Error
Esta Pagina Requiere Controles ActiveX
para ser mostrada en su totalidad
Presione Actualizar y Acepte

En otros casos, el mensaje de error es el siguiente:

This Paginates it Requires Controls ActiveX
to be shown in their entirety
Press to Upgrade and Accept

Una copia del script es grabada en el directorio System como "DeathLetter.vbe", y una rama del registro es creada para autoejecutarlo al reiniciarse Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DeathLetter = "C:\WINDOWS\System\DeathLetter.vbe"

El gusano se copia a si mismo en el directorio System con estos nombres:

C:\Windows\System\Letter_of_the_Death.mht
C:\Windows\System\ComoHackearUnMail.mht

Intenta copiar el archivo "C:\Windows\System\Letter_of_the_Death.mht" al directorio de temporales (normalmente C:\Windows\TEMP), con uno de los siguientes nombres (son los nombres de los adjuntos que envía por correo):

MailFile.mht
www.ftpfree.mht
Microsoft Bulletin 207.mht
www.Models.mht
www.gmol.mht
www.rdA.mht
Trivia.mht
NoHabrasEsto.mht
EnterTvRed.mht
Boletin N.205.mht

Luego, finaliza su ejecución, esperando hasta que el archivo "DeathLetter.vbe" se ejecute en el próximo reinicio de Windows.

Cuando ello sucede, el archivo "DeathLetter.vbe" se ejecuta. El gusano guarda todas las direcciones obtenidas en la libreta de contactos del Outlook y encontradas en archivos .HTM y .HTML, en el registro.

HKEY_CURRENT_USER\Software\Gedzac Labs\VBS.OM\Mail
[Dirección de correo] = "Dmail"

HKEY_CURRENT_USER\Software\Gedzac Labs\VBS.XM\Mail
[Dirección de correo] = "Dmail"

El virus se envía a si mismo a todas las direcciones obtenidas, utilizando el Outlook y las rutinas MAPI con la información mencionada. Un mensaje adicional es enviado a la dirección "sachiel2015@latinmail.com" con el asunto "VBS/DeathLetter Reportandose" y el cuerpo del mensaje conteniendo como datos, el nombre del producto del sistema infectado y como cuerpo del mensaje, el nombre del producto del sistema infectado, la organización registrada, y el usuario registrado.

Para propagarse a través del KaZaa, el gusano crea un directorio en el directorio "System":

C:\Windows\System\GEDZAC_LABS(P2P)\

Dentro de esta última carpeta, se colocan múltiples copias del mismo gusano, pero con los siguientes nombres:

Ana Kournikova Sex Video.mht
AVP Antivirus Pro Key Crack.mht
Britney Spears Sex Video.mht
Buffy Vampire Slayer Movie.mht
Crack Passwords Mail.mht
Cristina Aguilera Sex Video.mht
Game Cube Real Emulator.mht
Hentai Anime Girls Movie.mht
Jenifer Lopez Sex Video.mht
Matrix Movie.mht
Mcafee Antivirus Scan Crack.mht
Norton Anvirus Key Crack.mht
Panda Antivirus Titanium Crack.mht
PS2 PlayStation Simulator.mht
Quick Time Key Crack.mht
Sakura Card Captor Movie.mht
Sex Live Simulator.mht
Sex Passwords.mht
Spiderman Movie.mht
Start Wars Trilogy Movies.mht
Thalia Sex Video.mht
Winzip KeyGenerator Crack.mht

Además de dichos nombres, el gusano utiliza los nombres de archivos encontrados en la carpeta compartida del KaZaa, agregándoles la extensión .MHT. Por ejemplo, si hay un archivo que se llame "Musica.mp3", el gusano se copia con el nombre de "Musica.mp3.mht".

El script modifica el registro para que la carpeta de archivos compartidos del KaZaa pase a ser la creada antes: "C:\Windows\System\GEDZAC_LABS(P2P)\":

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
dir0 = "012345:%system%\GEDZAC_LABS(P2P)
DisableSharing = 0

HKEY_CURRENT_USER\Software\KAZAA\ResultsFilter
virus_filter = 0
firewall_filter = 0

Para propagarse vía IRC, el gusano busca el archivo de configuración del mIRC, MIRC.INI, y lo modifica para usar su propio script: "DeathLetter.chat". Este archivo envía el gusano a otros participantes en los mismos canales de chat visitados por la víctima infectada, utilizando uno de los siguientes nombres en cada sesión:

Aracnofobia.mht
Relatos.mht
www.EstasMuerto.mht
VampireSlayer.mht
Bush_Is_a_Murderer.mht

El gusano también modifica los archivos PIRCH98.INI, PIRCH32.INI, EVENTS.DLL, y EVENTS.INI si el cliente de IRC instalado es el pIRCh, para enviarse del mismo modo que con el mIRC, pero con el nombre de "ComoHackearUnMail.mht".

Cuando el gusano se ejecuta, se muestra una ventana con el siguiente texto:

El script también abre el explorador apuntando a tres direcciones de Internet (una detrás de la otra), todavía activas (contienen virus).


Reparación manual

Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\WINDOWS\System\DeathLetter.vbe
C:\Windows\System\Letter_of_the_Death.mht
C:\Windows\System\ComoHackearUnMail.mht
C:\Windows\TEMP\MailFile.mht
C:\Windows\TEMP\www.ftpfree.mht
C:\Windows\TEMP\Microsoft Bulletin 207.mht
C:\Windows\TEMP\www.Models.mht
C:\Windows\TEMP\www.gmol.mht
C:\Windows\TEMP\www.rdA.mht
C:\Windows\TEMP\Trivia.mht
C:\Windows\TEMP\NoHabrasEsto.mht
C:\Windows\TEMP\EnterTvRed.mht
C:\Windows\TEMP\Boletin N.205.mht

Borre también la carpeta "GEDZAC_LABS(P2P)" y su contenido:

C:\Windows\System\GEDZAC_LABS(P2P)

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a los descriptos antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

DeathLetter

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

5. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre las siguientes entradas:

dir0
DisableSharing

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\KAZAA
\ResultsFilter

7. Pinche en la carpeta "ResultsFilter" y en el panel de la derecha busque y borre las siguientes entradas:

virus_filter
firewall_filter

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Gedzac Labs

9. Pinche en la carpeta "Gedzac Labs" y bórrela.

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com