Asunto: Te han enviado una postal.
Texto:
Postales NetWork (c)1999-2002.
Datos adjuntos: PostalDeAmistad.pif

Asunto: Leelo y reenvialo a quienes aprecias.
Texto:
Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad.
Datos adjuntos: Cristo_Nos_Enseña.Doc.pif

Asunto: Listado de falsas alarmas.
Texto:
Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien.
Datos adjuntos: Listado.txt.by.Microsoft.com

Asunto: This is a last hoax list.
Texto:
I send the list of false alarms, so that you do not make case to the lies bye.
Datos adjuntos: List.txt.by.Microsoft.com

Asunto: Facturas
Texto:
Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.
Datos adjuntos: Facturas556.XLS.pif

Asunto: Fw: Enviame tu foto.
Texto:
bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje.
Datos adjuntos: EnLosAndes.pif

Asunto: Es posible que nos roben la identidad.
Texto:
lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso.
Datos adjuntos: YaNoPuedoSerYoMismo.DOC.pif

Asunto: Messenger vulnerable
Texto:
si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo
antes posible.
Datos adjuntos: ReparacionDeMessenger.DOC.pif

Asunto: Test de amor.
Texto:
Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.
Datos adjuntos: TestDeAmoryAmistad.DOC.pif

Cuando el adjunto es ejecutado por el usuario (utiliza el truco de la doble extensión, la segunda puede quedar oculta con la configuración por defecto de Windows), el gusano genera las siguientes copias de si mismo en la carpeta de Windows (C:\Windows, C:\WinNT, etc.):

Cristo_Nos_Enseña.Doc.pif
Listado.txt.by.Microsoft.com
List.txt.by.Microsoft.com
Facturas556.xls.pif
EnlosAndes.pif
YanoPuedoserYomismo.Doc.pif
ReparaciondeMessenger.Doc.pif
TestDeAmoryAmistad.Doc.pif
PostalDeAmistad.pif

Como muchos de los virus más recientes, este gusano también se propaga a través de la utilidad KaZaa, utilizada por miles de usuarios para el intercambio de archivos entre sus computadoras. Para ello, siempre que KaZaa exista en la máquina infectada, se copia en la carpeta compartida de este programa con diferentes nombres para engañar a los usuarios que lo descarguen a sus propias computadoras:

AVP40Crack.exe
ResidentEvil-Crack.exe
AVP-SpanishPatch.exe
PandaAllCracks.exe
SexoenlaCalle-Video.exe
Sexo-Asiatico-FullVideo.exe
MessengerSkins29.exe
HackTools.exe
MP3EncoderDecoder58.exe
GameCube-FreeEmulator.exe
PSX2-Emulator.exe
X-Box_Emulator.exe
PSXEmulator_Full.exe
CounterStrikeMoreServers.exe
Jedi2-FullCrack.exe
W98ToXpActualization.exe
WindowsXP-Serials.exe
GamesPSX2Emulator.exe
CopyPSXgamesV12.exe

También crea el archivo BANDERANEGRA.VBS en la raíz del disco "C:\". Este script de Visual Basic contiene la rutina para enviarse a través del correo electrónico.

También intenta borrar los siguientes archivos, pertenecientes a conocidos antivirus (VirusScan de McAfee, PER Antivirus y Kaspersky):

\system\vshield.vxd
\system32\vshield.vxd
\vshield.vxd
c:\autoexec.bat
C:\archiv~1\perav\pav.dll
C:\archiv~1\perav\per.dll
C:\program files\perav\pav.dll
C:\program files\perav\per.dll
C:\Windows\PAV.EXE
C:\Windows\bases\avp.set

También modifica entradas del registro que contienen las siguientes cadenas:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KAZAAkCuF = [número]
PAV.EXE = [número]
Zonavirus = [número]
BNexe = [Nombre de cualquiera de las copias del gusano]
BN = c:\BanderaNegra.vbs

HKLM\SOFTWARE\KasperskyLab\SharedFiles
Folder = C:\Windows

También se crea un archivo .DAT donde se visualizan los siguientes comentarios:

Componente para Facilitar La programacion de Gusanos. Componente V1.01c BanderaNegra, Por ErGrone/Zonavirus VIVA SUDAMERICA!!! Http://www.geocities.com/[omitido]

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas (no todas pueden estar presentes):

KAZAAkCuF
PAV.EXE
Zonavirus
BNexe
BN
OFF

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Actualice sus antivirus o reinstálelos (el virus intenta eliminar algunos archivos pertenecientes a conocidos antivirus, como PER, Kaspersky y VirusScan, aunque no lo logra en todos los casos).

7. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

8. Borre los archivos detectados como infectados por el virus


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Descripción basada en análisis del virus realizado por HackSoft S.R.L. Lima-Perú  (http://www.hacksoft.com.pe/ )


Modificaciones:
03/jul/02 - Alias: W32/Grade.A
11/jul/02 - Alias: W32.Kitro.D.Worm, W32.Banegra.int, W32.Kitro.D.int



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com