Asunto: The Coconut Game
Datos adjuntos: coconut.exe

Texto:
This game made me feel like I was on a vacation :)

Cuando se ejecuta, el virus se copia a si mismo en forma temporal al siguiente archivo:

c:\tmpvir.exe

Luego copia 200,704 bytes del código original a este archivo:

c:\coconut.exe

Luego borra TMPVIR.EXE.

Después despliega una pantalla con el mencionado juego, en donde se muestran los gráficos de Cluley y Devaere, y el botón [Throw!].

Cuando este botón es pulsado, se genera al azar, uno de los siguientes mensajes:

• You missed! You earned 0 points.
• You hit Frans Devaere! You earned 1 point.
• You hit Graham Cluley! You earned 2 points.

La tercera vez que se pulsa ese botón, se inicia la rutina de infección, y aparece una ventana con el siguiente mensaje:

In total, you have "X" point(s). Therefore, I have
infected 2 files on your computer. To be able to
run these files, you'll first have to play this
game again.
Have a nice day,

Gigabyte [Metaphase VX Team]
[ OK ]

El número de archivos infectados, depende del puntaje que se obtenga (se genera al azar al pulsar el botón [Throw!), y es mostrado realmente en el mensaje (donde aparece la "X").

El máximo número de archivos infectados pueden ser 6. A esta cantidad se le resta el puntaje obtenido. Por ejemplo, si el puntaje es cero, la cantidad de archivos infectados será 6 (6-0). Si se obtiene un puntaje de 4, se infectan 2 archivos (6-4). Con 6 puntos, no se infecta ningún archivo (6-6).

El virus infecta archivos con extensión .EXE en el directorio de Windows, agregando el archivo original al final del virus. Para ello copia el archivo original como HOSTCOPY.EXE en la misma carpeta. Luego, se copia él mismo sobre el archivo original, borrándolo, y finalmente agrega HOSTCOPY.EXE al final de si mismo.

El virus no infecta archivos .EXE que contengan cierto carácter (la letra "g") en una posición determinada de su código (offset 0x12).

Cada vez que un archivo infectado es ejecutado, primero se muestra la ventana con el juego mencionado. Después se ejecuta el original, copiándolo antes a la carpeta de archivos temporales (TEMP) con el nombre de TEMP.EXE. Finalmente borra este archivo y permanece residente en memoria.

Para enviarse por correo, libera el siguiente script (VBS), de 685 bytes:

c:\mail.vbs

Luego el virus examina si existe C:\COCONUT.EXE. Si no existe, ejecuta el script para iniciar la propagación vía correo electrónico, en un mensaje con las características ya vistas.

El archivo MAIL.VBS se borra a si mismo al finalizar el envío de hasta un máximo de 3,000 direcciones de la libreta del Outlook y Outlook Express.

El virus se ejecuta en plataformas Windows donde se encuentre instalado Microsoft .NET.

En su código puede encontrarse el siguiente texto:

Win32.HLLP.Coconut (c) 2003 Gigabyte [Metaphase VX Team]

Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"

3. En "Nombre" ingrese (o corte y pegue), lo siguiente:

HOSTCOPY.EXE; TEMP.EXE; TEMPVIR.EXE

4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione "Todos los archivos y carpetas"

3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:

HOSTCOPY.EXE; TEMP.EXE; TEMPVIR.EXE

4. Verifique que en "Buscar en:" esté seleccionado "C:"

5. Pinche en "Más opciones avanzadas"

6. Seleccione "Buscar en carpetas del sistema"

7. Seleccione "Buscar en subcarpetas"

8. Haga clic en "Búsqueda" y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

11. Reinicie su computadora


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com