HKCU\Identities\[identidad...]\Software\Microsoft\Outlook Express\5.0\
"Signature Flags" = 00000003

y la rama:

HKCU\Identities\[identidad...]\Software\Microsoft\Outlook Express\5.0\signatures

\signatures\Default Signature" = "00000000"
\signatures\00000000\file" = "[path]\Godmessage.html"
\signatures\00000000\name" = "Signature #1"
\signatures\00000000\text" = ""
\signatures\00000000\type" = 00000002

Los mensajes salientes pueden tener en Asunto: "Godmessage", y en el cuerpo del mensaje la frase "Please see attached." al final.

Todos los discos duros locales son escaneados por el gusano, buscando archivos .VBS y .HTML. Todos los archivos VBS son reemplazados por el trojan (los originales se copian con la extensión .GMW, y todos los archivos HTML serán infectados por el mismo (similar al ILOVEYOU).

Escanea los puertos NetBios de máquinas en red, y las unidades mapeadas, y copia su código (VBS) al directorio de inicio (C:\WINDOWS\Menú Inicio\Programas\Inicio), pero es probable no funcione en las versiones de Windows diferentes a la original en inglés si no se modifica su código. Esto es similar al virus Network.vbs. Los archivos copiados son GM1.HTA y GM2.HTA.

El archivo Godmessage.html crea los dos HTA cuando se abre este archivo en el explorador. El primer HTA instala el servidor del trojan, el segundo crea una copia del archivo del virus, GMW.vbs y lo ejecuta.

Modifica el registro de Windows para ejecutarse en cada inicio del PC (lo mismo hace con las máquinas en red):

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\GM1
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\GM2
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\GM3

Es probable no funcione correctamente en versiones de Windows en español, pero no por ello debemos confiarnos.

También busca el archivo "mirc32.exe" (del cliente de chat mIRC), y si lo encuentra, modifica el archivo script.ini para enviar al canal actual (via DCC), el archivo "Godmessage.html".

Otro archivo creado durante su acción, y luego borrado, es "onz.exe", con el código del trojan.

Acciones

Dependiendo de donde es ejecutado el archivo GMW.vbs, produce las siguientes acciones:

En Windows NT/2K

Si se ejecuta desde el directorio TEMP del usuario:
- Agrega el archivo HTML a la firma del Outlook Express.
- Al azar, se envía a contactos de la libreta de direcciones, en cada hora.
- Ejecuta el Godmessage (ver más adelante).

Si se ejecuta desde el directorio de configuración local del usuario:
- Revisa los discos duros en busca de archivos VBS y HTML.
- Ejecuta el Godmessage (ver más adelante), en cada hora.

Si se ejecuta desde el directorio del usuario:
- Revisa los recursos compartidos a través de NetBios (unidades en red).
- Ejecuta el Godmessage (ver más adelante).

Si se ejecuta desde cualquier otro sitio (archivos HTA)
- Ejecuta el Godmessage (ver más adelante).

En Windows 95/98/Me

Si se ejecuta desde el directorio TEMP del usuario:
- Agrega el archivo HTML a la firma del Outlook Express.
- Al azar, se envía a contactos de la libreta de direcciones, en cada hora.
- Ejecuta el Godmessage (ver más adelante).

Si se ejecuta desde el directorio WINDOWS:
- Revisa los discos duros en busca de archivos VBS y HTML.
- Ejecuta el Godmessage (ver más adelante) cada hora.

Si se ejecuta desde el directorio raiz:
- Revisa los recursos compartidos a través de NetBios (unidades en red).
- Ejecuta el Godmessage (ver más adelante).

Si se ejecuta desde cualquier otro sitio (archivos HTA).
- Ejecuta el Godmessage (ver más adelante).

Las acciones llevadas a cabo por el Godmessage son las siguientes:

Revisa la existencia de Godmessage.html en el directorio VBS, y lo genera si no existe.

Revisa la existencia de los archivos GM1.HTA y GM2.HTA en el directorio de inicio (no funciona en las versiones en español de Windows, a menos que el código original haya sido modificado), y los borra.

Revisa la existencia de las ubicaciones de archivos VBS (tres en total), y los agrega y ejecuta si no existen, modificando el registro.

Para evitar su acción, se recomiendan los siguientes pasos:

1) Instalar el parche de seguridad que corrige un importante agujero en Windows 95/98/Me/NT/2000.

Esta vulnerabilidad en la Máquina Virtual Java (Microsoft VM) permite la ejecución de cualquier código en nuestra computadora, con tan sólo visitar una página web o leer un mensaje de correo HTML. La Máquina Virtual Java, es el componente que permite la ejecución de aplicaciones Java, y a la vez, los controla, para impedir que ejecuten acciones no deseadas. Microsoft publicó el Boletín de Seguridad MS00-075 y un parche para acabar con dicha vulnerabilidad, que afecta a todos los usuarios de Windows 95, 98, 98 Segunda Edición, Me, NT y 2000, y los sistemas que tengan instalado el Internet Explorer 4.x o 5.x.

Se aconseja descargar el parche de estas direcciones:

www.microsoft.com/technet/security/bulletin/ms00-075.asp
www.microsoft.com/technet/security/bulletin/ms00-081.asp
www.microsoft.com/java/vm/dl_vm40.htm

2) Cómo el virus utiliza archivos VBS (Visual Basic Script), se recomienda deshabilitar el Windows Scripting Host (WSH).

Si usted desactiva esta opción (WSH), el virus será totalmente inofensivo. El Windows Scripting Host está instalado por defecto en Windows 98 y posteriores, no así en Windows 95, donde deberá ser instalado de querer usarse. Para desactivarlo proceda de la siguiente manera:

Desde el Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC.

3) Mantener al día sus antivirus. Las versiones de antivirus recientes, son capaces de detectar la acción de este tipo de código malicioso, en el momento de su acción.

En relación a detectar el código de este virus en especial (sin ejecutarlo) en las pruebas realizadas por nosotros en la noche del domingo 29 de octubre (con las últimas actualizaciones de todos los antivirus disponibles en nuestra página), solo dos antivirus lo detectaron. El AVP lo reconoció como un archivo "sospechoso": IRC-Worm.generic, y el Norton lo describió como VBS.NewLove.A. El Norton lo hizo solo cuando tenía la extensión VBS, mientras que AVP lo detectó con cualquier extensión que tuviera.

4) Instalar el software Zone Alarm (gratuito), que además de proteger su PC de la acción de intrusos externos y de trojans, impide la ejecución involuntaria de código malicioso en el correo electrónico.

Nota: El código de este virus está disponible en Internet, de modo que puede ser fácilmente modificado, por lo que los nombres de los archivos y otros datos, solo deben tomarse como referencia.

Ver también:
23/mar/00 - VBS/Kakworm-A. Se propaga sin necesidad de adjuntos
12/dic/00 - VBS/Kakworm-E. Infecta con solo verlo en vista previa
19/dic/00 - ¿Las soluciones antivirales pueden ser ineficaces?
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS
01/mar/01 - VBS/Challenge@M. Infecta sin abrir archivos adjuntos