c:\windows\system\[nombre del gusano]

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

También modifica el archivo C:\WINDOWS\SYSTEM.INI para autoejecutarse en cada reinicio de Windows:

[boot]
shell=Explorer.exe [nombre del gusano]

Se envía en correos electrónicos con las siguientes características:

De: [uno de los siguientes remitentes]:

Bin Laden <osama@fbi.gov>
BushScare <president@white.gov>
careless <ch@care.net>
condemn <fool@first.gov>
Maybank <security@maybank2u.com>
media <washtimes.com>
Microsoft <support@microsoft.com>
Rumsfeld <rumsfeld@pentagon.net>
Terrorist Ariel Sharon <pm_eng@pmo.gov.il>
Terrorist George W. Bush <president@whitehouse.gov>

Asunto: [uno de los siguientes]:

Bad news!
Bussiness
Buy 1 Free 2
Command line\
Compress Sample
Create own disk
Deliver
Free porn!
great!
Hack me!
hello
Help Section
Hi!
High security
installer
internet proxy
keep the File
microsoft
My Webs
Need help!
News!
nice job!
oh wow
personal info
plz!
Possible Word
Protokol
Re:
Report!
sample music
Sensitive Name
Spend Money
System Error
Too easy
Unknown Header
Update
Warning!
you are!
Your resume

Texto del mensaje: [vacío, o uno de los siguientes]:

Ejemplo 1:

check your attachment now!

Ejemplo 2:

Hey! It's that what you want! I hope so!
Check the file first then reply back if 
you have problem!
Alex Pravoks

Ejemplo 3:

For the truth of love! I have suprise to 
you! Please baby forgive me!
Ronn Elika

Ejemplo 4:

Oh my god! It's that you! Helo! Helo! So, 
this is gift for christmas day!
Orlian Jieg

Ejemplo 5:

Hello friend,
I have a problem here. I have encrypt the 
file that contain my message problem. The 
password is 'helpx'. Plz reply back!

Ejemplo 6:

A message you have received has been 
converte to an attachment. I sorry cause 
that problem. <webmaster@winzip.com>

Datos adjuntos: [nombre al azar con una de las siguientes extensiones]:

.bat
.com
.exe
.pif
.scr

Las direcciones a las que se envía, son tomadas de archivos de la máquina infectada, con las siguientes extensiones:

.asp
.dbx
.eml
.htm
.html
.jse
.mbx
.mht
.mmf
.nch
.ods
.tbb
.txt
.vcf
.wab

Utiliza su propia rutina SMTP (no depende del cliente de correo instalado).

Además, puede propagarse por redes locales, copiándose en todas las unidades compartidas, así como discos lógicos, con nombres al azar y extensiones .BAT, .COM, .EXE, .PIF o .SCR. En ocasiones, también utiliza los siguientes nombres:

installer.bat
installer.com
installer.exe
installer.pif
installer.scr
setup.bat
setup.com
setup.exe
setup.pif
setup.scr

Posee una rutina de acceso remoto por puerta trasera (backdoor), que permite a un atacante crear, borrar y renombrar archivos y directorios, así como ejecutar comandos, vía Internet, en la máquina infectada.

El gusano intenta finalizar conocidos antivirus y cortafuegos que pudieran estar instalados en la computadora infectada.

El gusano contiene en su código el siguiente texto:

W32.Narita

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus.


Modificar SYSTEM.INI

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.


1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Busque lo siguiente:

[boot]
shell=Explorer.exe [nombre del gusano]

y déjelo así:

[boot]
shell=Explorer.exe

3. Grabe los cambios y salga del bloc de notas

4. Reinicie su computadora y reitere estos pasos en cada unidad de red.


Información adicional

El gusano utiliza un exploit que se aprovecha de una vulnerabilidad del Internet Explorer para manejar las etiquetas IFRAME, a los efectos de ejecutarse al ser visualizado el mensaje, en aquellos equipos que no hayan instalado los últimos parches para el Internet Explorer y Outlook Express.

El mensaje contiene en su código una etiqueta IFRAME, que normalmente permite la inclusión de páginas o documentos dentro de otras páginas, ya sean del mismo dominio o no.

Valiéndose de una vulnerabilidad del Internet Explorer, se logra ejecutar un script que obliga a que el navegador descargue y ejecute el archivo adjunto, superando las restricciones de seguridad que Windows impone a cualquier código cuando se usa dentro de un IFRAME.

La configuración sugerida en el siguiente artículo, evita la ejecución del script que permite la explotación de esta falla:

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Se sugiere descargar la última actualización acumulativa para el Internet Explorer, que corrige esta falla:

MS03-048 Actualización acumulativa para IE (824145)
http://www.vsantivirus.com/vulms03-048.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

21/dic/03 - Cambio de nombre (antes Win32/Narit.A)





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com