De: [Remitente]
Para: [Destinatario]

Asunto: [Destinatario] you have a funny card from [Remitente]

Texto: 

[Destinatario], 

[Remitente] has created a funny card for you at
Laugh-Mail.com, a web site where you can create
fun cards for your friends.

View it here:

http://[dirección]/[número]/pickup.html?code=[xxx]

Message; 

--------------------------------------------------------------------------
[Destinatario], 
This card was really funny. I hope you enjoy it.
[Remitente]
--------------------------------------------------------------------------

También cambia algunos de los enlaces al sitio de la tarjeta. Se han detectado al menos estas direcciones:

www.cool-downloads.net
www.friend-cards.com
www.friend-cards.net
www.friend-greeting.com
www.friendgreetings.net
www.laugh-mail.com

Cuando el usuario pincha sobre el enlace correspondiente, se le muestra una ventana con una falsa advertencia, pidiendo la descarga de un certificado de seguridad:

Security Warning

Do you want to install and run "FriendGreetings"
signed on 10/23/02 1:29 PM and distributed by:

Permissioned Media Inc.

Publisher authenticity verified by Thawte Server CA

Caution: Permissioned Media Inc. asserts that this
content is safe. You should only install/view this
content if you trust Permissioned Media Inc. to make
that assertion.

[   ] Always trust content from Permissioned Media Inc.

[    Yes    ] [    No    ] [   More Info   ]

Si el usuario acepta haciendo clic en "Yes", dos archivos son descargados en el sistema, y ejecutados automáticamente, mostrándose como archivos de instalación WISE, los cuáles muestran dos acuerdos de licencia para su uso (License Agreement). El segundo de ellos pregunta al usuario si se le permite acceder a la libreta de direcciones del Outlook, para enviar un mensaje de correo con la invitación de descargar los productos de FriendGreetings:

License Agreement
Please read the following license agreement carefully.
Press the PAGE DOWN key to see the rest of the agreement.

1. Consent to E-Mail Your Contacts. As part of the installation process, Permissioned Media will access your MicroSoft Outlook(r) Contacts list and send an e-mail to persons on your Contacts list inviting them to download FriendGreetings or related products. By downloading, installing, accessing or using the FriendGreetings, you authorize Permissioned Media to access your MicroSoft(r) Outlook(r) Contacts list and to send a personalized e-mail message to persons on your Contact list. IF YOU DO NOT WANT US TO ACCESS YOUR CONTACT LIST AND SEND AN E-MAIL MESSAGE TO PERSONS ON THAT LIST, DO NOT DOWNLOAD, INSTALL, ACCESS OR USE FRIENDGREETINGS.

Si el usuario acepta, el programa envía un mensaje como el recibido antes, a todos los contactos de la libreta. Además se continúa la instalación, con la descarga de los componentes de la tarjeta. En pantalla se muestra una ventana de progreso clásica.

Si no acepta, el gusano finalizará su acción, sin ninguna otra consecuencia.

El instalador descarga los siguientes archivos:

%Program Files%\Common Files\Media\INSTALL.LOG
%Program Files%\Common Files\Media\Uninstal.EXE
%Program Files%\Common Files\Media\OTDOCK.DLL
%Program Files%\Common Files\Media\OTGLOVE.DLL
%Program Files%\Common Files\Media\OTMS.EXE
%Program Files%\Common Files\Media\OTUPDATE.EXE
%Program Files%\Common Files\Media\WINSRVC.EXE
%Program Files%\Common Files\Media\WINSRVC.DAT

"%Program Files%\Common Files\" corresponde a "C:\Archivos de programa\Archivos comunes\Media" en las versiones en español de Windows.

El gusano crea también las siguientes claves en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PMedia = [carpeta de instalación]\Winsrvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Friend Greetings
DisplayName = "Friend Greetings"

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Friend Greetings
UninstallString = "%Program Files%\Common Files\UNWISE.EXE
%Program Files%\Common Files \INSTALL.LOG"

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinSrv Reg
DisplayName = "WinSrv Reg"

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinSrv Reg
UninstallString = "%Program Files%\Common Files\Media\UNINSTAL.EXE"
"%Program Files%\Common Files\Media\INSTALL.LOG" "WinSrv Reg Uninstall"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Pmedia = "%Program Files%\Common Files\Media\winsrvc.exe"

HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\
{3972ADCE-8737-45DE-A6E2-A253348E5A1E}

HKLM\Software\CLASSES\IEEvtCatcher.IEEvtCatcherObj.1
(Predeterminado) = "IEEvtCatcherObj Class"

HKEY_LOCAL_MACHINE\Software\CLASSES\
IEEvtCatcher.IEEvtCatcherObj.1\CLSID
(Prederminado) = "{7011471D-3F74-498E-88E1-C0491200312D}"

HKLM\Software\CLASSES\IEEvtCatcher.IEEvtCatcherObj
(Prederminado) = "IEEvtCatcherObj Class"

HKEY_LOCAL_MACHINE\Software\CLASSES\
IEEvtCatcher.IEEvtCatcherObj\CLSID
(Prederminado) = "{7011471D-3F74-498E-88E1-C0491200312D}"

HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\
{7677C920-9CC3-4621-AF8C-AD45402DC2FD}

HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\
{7011471D-3F74-498E-88E1-C0491200312D}

HKEY_LOCAL_MACHINE\Software\CLASSES\Interface\
{059D8C85-A00F-40AF-8078-7692A0A79F19}

Luego de descargar sus componentes, el gusano accede inmediatamente a la libreta de direcciones del Outlook y envía a cada contacto un mensaje similar al ya descripto.

Después de que la rutina de envío masivo se completa, el sitio que contiene el gusano muestra una tarjeta electrónica.

Durante la instalación, el gusano oculta la barra de tareas de Windows.


Desinstalar la aplicación "Friend Greetings"

1. Pinche en Inicio, Configuración, Panel de control

2. En el Panel de control, seleccione "Agregar o quitar programas"

3. En la lista de componentes instalados, seleccione "Friend Greetings" y pinche en el botón "Agregar o quitar..."

4. Reinicie su computadora


Desinstalar la aplicación "WinSvr Reg"

Esta aplicación es instalada por el software de instalación de la tarjeta. Pero también puede serlo por otras aplicaciones legítimas. Sin embargo, puede ser desinstalada,

1. Detenga el proceso en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente:

Winsrvc

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Pinche en Inicio, Configuración, Panel de control

5. En el Panel de control, seleccione "Agregar o quitar programas"

6. En la lista de componentes instalados, seleccione "WinSvr Reg" y pinche en el botón "Agregar o quitar..."


Borrar los archivos creados por el gusano

1. Con el Explorador de Windows seleccione una de las siguientes carpetas (la que corresponda a su versión de Windows):

C:\Program Files\Common Files\Media
C:\Archivos de programa\Archivos comunes\Media

2. Localice y borre los siguientes archivos en la carpeta "Media":

Install.log
OTDock.dll
Otglove.dll
Otms.exe
Otupdate.exe
Uninstal.exe
Winsrvc.dat
Winsrvc.exe

3. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

4. Actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos duros


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha borre el siguiente valor:

PMedia

4. En el panel de la izquierda seleccione la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Uninstall
\WinSrv Reg

5. Pinche en la carpeta "WinSrv Reg" y bórrela.

6. En el panel de la izquierda seleccione la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\explorer
\Browser Helper Objects

7. Pinche en la carpeta "Browser Helper Objects" y en el panel de la derecha borre el siguiente valor:

{7011471D-3F74-498E-88E1-C0491200312D}

8. En el panel de la izquierda seleccione la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\CLASSES

9. Pinche en la carpeta "CLASSES" y en el panel de la derecha borre los siguientes valores:

IEEvtCatcher.IEEvtCatcherObj.1
IEEvtCatcher.IEEvtCatcherObj

10. En el panel de la izquierda seleccione la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\CLASSES
\CLSID

11. Pinche en la carpeta "CLSID" y en el panel de la derecha borre los siguientes valores:

{7011471D-3F74-498E-88E1-C0491200312D}
{7677C920-9CC3-4621-AF8C-AD45402DC2FD}

12. En el panel de la izquierda seleccione la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\CLASSES
\TypeLib

13. Pinche en la carpeta "TypeLib" y en el panel de la derecha borre el siguiente valor:

{3972ADCE-8737-45DE-A6E2-A253348E5A1E}

14. En el panel de la izquierda seleccione la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\CLASSES
\Interface

15. Pinche en la carpeta "Interface" y en el panel de la derecha borre el siguiente valor:

{059D8C85-A00F-40AF-8078-7692A0A79F19}

16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

FriendGreetings, una falsa tarjeta de saludo
http://www.vsantivirus.com/friendgr.htm

FriendGreetings II. Envío masivo de tarjetas de saludo
http://www.vsantivirus.com/friendgr-b.htm

FriendGreetings IV. Versión con troyano "Hide Minimized"
http://www.vsantivirus.com/friendgr-d.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com