HKLM\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Cache\Paths

El mensaje enviado posee asunto, nombre del adjunto y contenido seleccionado al azar. El archivo adjunto siempre tiene extensión .PIF.

Asunto (uno de los siguientes):

A mi no me gustan estas cosas
AudioGalaxy
Cartuchos HP al mejor precio
CD Home (El Mejor precio)
CD Home (The best price)
Como en la pelicula SpiderMan
Como en x-files la pelicula
Creí que ya lo habia enviado
dont read me
hacking
Hotmail Members Service
I quit!
Info
jaja se parece a tu hermana, el mejor!!!
Jajaja
Just testing my new mail
La foto esta al reves
Mailer Daemon Failure - Undeliverable mail
New on AudioGalaxy
No lo entendi
No me leas
Please dont send me more mails
Por favor no me envies más mails
RE: Porque?
RE: Que me enviastes?
RE: Why?
Renuncio!
Responde!
Sólo probaba mi nueva cuenta de mail
Te dije que era gorda. Mira!
Te lo scannee, de nada...

Texto del mensaje (seleccionado al azar de la siguiente lista:

Opción 1:

Como te lo prometi aca te mando el protector de pantalla,
no fue fácil pero lo encontre en www.logratis.com, si
quere fijate hay un monton mñas que estan bastante buenos,
aunque este por ahora es el mejorcito que encontre.
También me baje un monton de mp3 y fondos de pantallas que
despues te los paso. Bue te mando un saludo y nos hablamos
luego.

Opción 2:

Hi, wazzzzap! Here´s the screensaver, check it out, it´s
pretty cool, i´ve downloaded it from www.download.com try
it, hit me back. Bye

Opción 3:

Hola, cómo va todo? Entre al sitio que me sugeristes y
esta muy bueno, me baje un monton de fondos de pantallas,
mp3 y protectores de pantallas, te mando uno, es el mejor
que encontre a ver que te parece. Bue te mando un saludo
nos hablamos luego.

Opción 4:

Hi , How do you do? i visited the site you suggested me
and it´s pretty cool, i already downloaded a lot of
wallpapers, mp3 and screensaver, i send you this
screensaver, it´s the best a found i hope you like.
Well i´ll call you later. Bye

Opción 5:

Qué hiciste BOLUDO???

Datos adjuntos (un archivo de 48,128 bytes, con nombre seleccionado al azar de la siguiente lista):

Ahhhhh.jpg [espacios vacíos] .pif
Asi perdi me trabajo.jpg [espacios vacíos] .pif
aviso.doc [espacios vacíos] .pif
Bill Gate$.jpg [espacios vacíos] .pif
Bomb.jpg [espacios vacíos] .pif
Carolina.jpg [espacios vacíos] .pif
chiste.doc [espacios vacíos] .pif
Ciron.jpg [espacios vacíos] .pif
god vs evil.jpg [espacios vacíos] .pif
Hernan.jpg [espacios vacíos] .pif
horrible.jpg [espacios vacíos] .pif
Juan Pablo.jpg [espacios vacíos] .pif
Karner.jpg [espacios vacíos] .pif
La mujer perfecta.jpg [espacios vacíos] .pif
Made in Argentina.jpg [espacios vacíos] .pif
Microsoft ColdMail.jpg [espacios vacíos] .pif
mocosoft.jpg [espacios vacíos] .pif
my dicovery.jpg [espacios vacíos] .pif
Norton AntiBinladen.jpg [espacios vacíos] .pif
nota.doc [espacios vacíos] .pif
pamela la mejor.jpg [espacios vacíos] .pif
polvo.gif [espacios vacíos] .pif
powerpuff girls.jpg [espacios vacíos] .pif
Que feo.jpg [espacios vacíos] .pif
Return Castle Wolfenstein.jpg [espacios vacíos] .pif
Star Wars Episode II.jpg [espacios vacíos] .pif
tapa.pdf [espacios vacíos] .pif
the perfect woman.jpg [espacios vacíos] .pif
wuzzzzuppp.jpg [espacios vacíos] .pif

Donde dice [espacios vacíos] pueden existir hasta 200 caracteres en blanco, antes de la extensión. Esto puede dificultar el ver la verdadera extensión del gusano, .PIF

Por ejemplo, el usuario pensará que un archivo como el siguiente (seleccionado al azar de la lista anterior), se trata de un archivo de imágenes:

the perfect woman.jpg

La verdadera extensión no es mostrada por el ancho de la columna de visualización, sin embargo, el archivo es .PIF. El .PIF viene después de casi 200 espacios... :(

Por otra parte, el adjunto puede ejecutarse con solo leer el mensaje o al verlo en el panel de vista previa, si no se tiene Internet Explorer actualizado a las versiones más nuevas.

Cuando se ejecuta el archivo adjunto (.PIF con cualquier nombre), en realidad se ejecuta el gusano.

Primero se copia a si mismo en el directorio System de Windows:

C:\Windows\System\Systray32.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Luego, crea la siguiente clave en el registro, para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
ActiveDesktop = C:\Windows\System\Systray32.exe

Si el sistema operativo es Windows 95, 98 o Me, el gusano se registra a si mismo como un servicio, quedando por lo tanto oculto en la lista de tareas al pulsar CTRL+ALT+SUPR

El gusano posee además capacidad para actuar como caballo de Troya de acceso remoto (RAT), lo que permite a un intruso acceso y control total de la computadora infectada.

El componente troyano, intenta acceder al caché de las contraseñas almacenadas en Windows. Esto incluye nombres de usuario y contraseñas de accesos telefónicos a redes, y muchas otras, lo que compromete seriamente la seguridad y privacidad de la computadora infectada.

Para hacer más crítica aún la situación de la víctima, el troyano intercepta información ingresada por el teclado (keylogger), para enviarla al intruso.

Esto permite el robo de números de tarjetas de crédito, etc.

El troyano además, notifica al atacante vía e-mail cuando está activo. Luego de ello, puede quedar a la espera de comandos que el atacante puede enviar para tomar el control de la computadora.

Otras acciones posibles:

• Envío de información crítica al atacante (contraseñas, etc.)
• Abrir o cerrar la bandeja del CD-Rom
• Descargar y ejecutar archivos
• Modificar configuraciones del sistema infectado
• Inventario de Windows
• Borrado de archivos con extensiones .doc, wri, .eml, .htm, .html, o .txt.

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre el siguiente archivo:

C:\Windows\System\Systray32.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

3. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

ActiveDesktop

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm

Y luego actualice su Internet Explorer como se explica aquí:

Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com