De: Buxtehude
Asunto: Something about…

Texto:
Something about sex
Sex is like nokia I(connecting people), 
like nike (just do it), 
like pepsi (ask for more), 
like coca-cola (enjoy). 

Send this message to FRIENDS or you will have 5 years bad sex!
Attached program sends this message to 10 of your random friends

Datos adjuntos: SETUPW32.EXE

El gusano está compilado en Visual Basic. Cuando un usuario ejecuta el archivo adjunto al mensaje mencionado, el gusano se copia a si mismo con otro nombre en la carpeta de inicio de Windows:

c:\Windows\Start Menu\Programs\Startup\BUXTEHUDE.EXE

Esta ubicación está escrita en su código, por lo que solo funcionará en las versiones en inglés de Windows.

Luego, el gusano crea un applet de Java llamado TROYAN.JAVA, que al ejecutarse muestra un falso mensaje de error con el siguiente texto:

File SrvDL32.dll not found!

El applet contiene las instrucciones para enviar información del sistema infectado al autor del gusano.

El virus utiliza el servidor SMTP smtp.hotpop.com para enviar sus mensajes utilizando comandos SMTP.

Las direcciones de correo las obtiene de la carpeta Bandeja de entrada del Outlook Express o Mail and News. Para esto, busca dichas carpetas solo en las siguientes ubicaciones:

C:\Windows\Application Data\Microsoft\Outlook Express\Mail\Inbox.idx
C:\Windows\Application Data\Microsoft\Outlook Express\Inbox.idx
C:\Program Files\Internet Mail and News\Defult User\Mail\Inbox.idx

Esto se encuentra tal cuál en su código, por lo que no funcionará en todas las versiones de Windows.

El mensaje que envía al autor del gusano, posee estos datos:

Para: blabba@hotpop.com
Asunto: Somethin’ nice

Texto:
Hello, Buxtehude!My name is [usuario infectado]
and please take my pwl file...

Datos adjuntos: [el archivo .PWL de la víctima]

Los archivos *.PWL contienen passwords de acceso a Windows.

El gusano posee características de troyano del tipo backdoor (puerta trasera).

Para ello genera un segundo applet de Java, BUXTEHUDE.JAVA, que utiliza como servidor. Este applet crea un socket (canal de comunicación que se abre entre un puerto de nuestra computadora y otra remota a la que puede conectarse), y queda a la espera de la solicitud de conexión del autor del gusano, que de este modo podrá tener acceso al sistema infectado.

En el código del gusano puede verse el siguiente texto:

Troyan Explorer_Sender

Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente (puede tener cualquiera de estos nombres):

Setupw32
Setupw32.exe

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Actualice sus antivirus y realice un escaneo de sus discos, borrando los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com