about you
Confidential user information!
E-mail account disabling warning for [nombre]
How cute is your credit card number!! :))
i have your password :)
IMPORTANT [nombre]!
Mail Delivery System ([nombre])
Mail Transaction Failed ([nombre])
Password Reset For [nombre]
RE: [nombre]
RE: details ([nombre])
RE: Thank You!
Undelivered Mail Returned to Sender ([nombre])
Your account ([nombre]) will be closed
Your IP has been logged

Donde [nombre] es el nombre antes de la "@" en la dirección del destinatario. Por ejemplo, si la dirección es maria@dominio.com, entonces algunos de los asuntos serían así:

E-mail account disabling warning for maria
RE: details (maria)

Datos adjuntos: [uno de los siguientes]

[al azar].zip
cooltext.exe
document.exe
document.scr
eula-usa.exe
hello.exe
hello.scr
information.exe
information.scr
nothing.exe
nothing.scr
password.exe
password.scr
readmeus.exe
secret!!.exe
text.txt.exe
unknown.exe
unknown.scr
unknown1.exe
untitled.exe

Cuando es un archivo .ZIP, su contenido es alguno de los otros archivos.

Si se ejecuta el archivo adjunto, el gusano crea los siguientes archivos:

c:\windows\cyclone.v0.00002.htm
c:\windows\tasks\svchost.exe
c:\windows\system32\01enel.dll
c:\windows\system32\01check.dll
c:\windows\system32\01eml.dll
c:\windows\system32\01seml.dll
c:\windows\system32\01url.dll
c:\windows\system32\01vis.dll

(Los primeros caracteres son los números cero y uno)

NOTA: "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows XP y Windows Server 2003, como "c:\winnt", "c:\winnt\system32" en Windows NT y 2000 y "c:\windows", "c:\windows\system" en Windows 9x y ME).

Crea las siguientes entradas en el registro para auto ejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Monitoring Service = c:\windows\tasks\svchost.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Monitoring Service = c:\windows\tasks\svchost.exe

Mientras el gusano esté en memoria, continuamente mantendrá actualizados dichos valores en el registro, haciendo inútiles todos los intentos de modificarlos hasta que no se elimine al gusano.

También se copia en las siguientes carpetas de inicio de Windows (también para auto ejecutarse):

c:\documents and settings\all users
\start menu\programs\startup\webcheck.pif

c:\documents and settings\[usuario]
\start menu\programs\startup\webcheck.pif

Donde [usuario] es el nombre del usuario actual.

El gusano crea en la carpeta TEMP un archivo DOC, el cuál es abierto por el mismo gusano con el bloc de notas, mostrando una falsa licencia de usuario final (EULA) para Windows 2000, que simula provenir de Microsoft.

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

El gusano borra el contenido del archivo HOSTS, y lo suplanta por referencias locales a los siguientes sitios de Internet (esto impide el acceso a dichas direcciones desde la máquina infectada):

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com|
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com

Si se detecta el programa de intercambio de archivos entre usuarios KaZaa, el gusano se intenta copiar en la carpeta de archivos recibidos de dicha aplicación, utilizando los siguientes nombres:

Playboy Screensaver Dec 2003.scr
Sky lopez - Screensaver.scr
Strip Girls-part[número].scr
Winamp5.01.exe

El gusano examina archivos con las siguientes extensiones en las carpetas del caché de Internet, Mis documentos, la libreta de direcciones, el perfil por defecto del Mozilla y las carpetas del Outlook Express, en busca de direcciones a las cuáles enviarse:

.asp
.dbx
.eml
.htm
.html
.mbx
.shtml
.txt
.wab

Reparación manual

Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\cyclone.v0.00002.htm
c:\windows\tasks\svchost.exe
c:\windows\system32\01enel.dll
c:\windows\system32\01check.dll
c:\windows\system32\01eml.dll
c:\windows\system32\01seml.dll
c:\windows\system32\01url.dll
c:\windows\system32\01vis.dll

(Los primeros caracteres son los números cero y uno)

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Monitoring Service

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Monitoring Service

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1   localhost

4. Acepte guardar los cambios al salir del bloc de notas.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com