Asunto: Windows update
Texto: Install this Windows update (for all versions).
Datos adjuntos: windows_update.txt.exe

La doble extensión, puede hacer que se muestre como un inocente archivo de texto (.TXT).

No posee otra carga destructiva que su capacidad de generar una gran cantidad de mensajes, ocasionando bloqueos de casillas y servidores, enlentecimiento del tráfico de la red, etc.

Para enviarse a través de la red de archivos compartidos entre usuarios KaZaa, el gusano genera múltiples copias de si mismo en el directorio de descarga por defecto de esta utilidad, de acuerdo a lo que indique la siguiente clave del registro:

HKEY_LOCAL_MACHINE\Software\Kazaa\LocalContent
DownloadDir = [carpeta compartida]

El gusano crea en la carpeta indicada allí 36 copias de si mismo usando los siguientes nombres:

Age of Empires 2 Crack.exe 
Britney Spears Nude.exe 
DivX Lastest Beta.exe 
DivX.exe 
Emulator Downlaoder.exe 
gdies.exe 
GTA3 Crack.exe 
GTA3 Secrets.exe 
Half-life Secrets.exe 
ICQ Banner Remover.exe 
ICQ Password Recovery (All Versions).exe 
KaZaA 2.0 Lastest Beta.exe 
KaZaA Spyware Remover.exe 
MIB episode 2 Downloader.exe 
Microsoft Access Password Recovery (All Versions).exe 
Microsoft Excel Password Recovery (All Versions).exe 
Microsoft Office Password Recovery (All Versions).exe 
Microsoft Office XP Key Generator.exe 
Microsoft Word Password Recovery (All Versions).exe 
Norton Antivirus 2003 Beta Downloader.exe 
Quake 4 Lastest Beta.exe 
RAR Password Recovery.exe 
Tiazinha nua.exe 
Warcraft 3 Secrets.exe 
Windows (All Versions) Key Generator.exe 
Windows Screen Saver Password Recovery (All Versions).exe 
Windows Secrets.exe 
Windows XP Crack.exe 
Windows XP Key Generator.exe 
Windows XP Serial Generator.exe 
WinRar and Crack.exe 
WinZip 8.0 and Serial.exe 
XBox Emulator.exe 
XBox Secrets.exe 
Xuxa nua.exe 
ZIP Password Recovery.exe

También crea 36 archivos HTML idénticos usando los nombres de archivos mencionados, cada uno de ellos conteniendo un enlace a un sitio malicioso:

http://www.av[omitido]vp.hpg.com.br/update.html

Cualquier usuario que utilice el KaZaa y descargue y ejecute uno de estos archivos, será infectado.

Para propagarse a través del correo electrónico, el gusano utiliza las funciones MAPI (Messaging Application Programming Interface) proporcionadas por el Outlook (Outlook y Outlook Express). El envío de los mensajes se hace a todas las direcciones recolectadas de los archivos con las siguientes extensiones localizados en el disco de la víctima:

IDX
NCH
MBX
DBX
MSG
EML
TXT
HTM

Limpieza de un sistema infectado

Para limpiar un sistema infectado, ejecute uno o dos antivirus actualizados, y borre los archivos que aparezcan infectados por el gusano.

Borre de la base de mensajes, todos aquellos similares al descripto antes.


Cómo ver las extensiones de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

• En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
• En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
• En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Más información:

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm


Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com