Hi,[destinatario]

This is a nice E-greeting from your friend [remitente]!

Go and pick it up at: http://www1.kaxiu.com/[xxx]

This personal greeting will be available for 30 days.

Hope you enjoy it and have fun!


*********************************************************

Free E-greeting at Cardshow ----
http://www.kaxiu.com

*********************************************************

You have been added to the Windows Commander mailing list.

You address is recorded as:

To remove go to the following URL:
http://ghisler.com/[xxx]

If you have a new e-mail address, point your WWW browser to the
address http://www.ghisler.com/[xxx] and use the change option.

This is an automatic reply; no response is necessary.

==========================================================

Este mensaje tiene un adjunto con doble extensión (la segunda extensión queda oculta en una instalación por defecto de Windows, ver en las referencias "Mostrar las extensiones verdaderas de los archivos"). El adjunto muestra un icono con la imagen de Bart Simpson.

El asunto tiene caracteres chinos y es variable, mientras el cuerpo del mensaje, como vimos, está siempre en inglés.

En las propiedades del mensaje, en "Content-ID:" vemos lo siguiente:

Content-ID: <__0@Foxmail.net>

El cabezal del mensaje es manipulado para explotar la vulnerabilidad "Incorrect MIME Header", lo que hace que el adjunto sea ejecutado con el simple acto de visualizar el mensaje o verlo en el panel de vista previa, si el sistema no tiene el parche correspondiente, haciéndose pasar por un archivo de audio (codificado como "audio/x-wav", en formato MIME).

La vulnerabilidad afecta las versiones 5.01 y 5.5 de Outlook y Outlook Express, que no han sido actualizadas con los parches correspondientes (ver las referencias).

Cuando se ejecuta, extrae un archivo embebido en el cuerpo del mensaje, y que es seleccionado al azar de la máquina infectada que envía el mensaje (.BMP, .DOC, .GIF, .JPEG, .JPG, .RTF, o .TXT). Copia ese archivo en la carpeta Windows\TEMP y lo abre. El nombre de este archivo es usado para la primera parte del nombre del adjunto. Por ejemplo, si ese archivo fuera IMAGEN.BMP, el adjunto que trae el gusano, con la doble extensión, sería IMAGEN.BMP.EXE por ejemplo.

El gusano se copia también en la carpeta Windows\System con el siguiente nombre:

C:\Windows\System\windowsagent.exe

Luego, crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WindowsAgent = C:\Windows\System\Windowsagent.exe

También copia en el sistema un componente con capacidad de robar las contraseñas del ICQ:

C:\Windows\drocerrbk.sys
C:\Windows\System\drocerrbk.sys

Puede crear uno solo de los dos, o ambos.

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

Una vez activo en memoria, el virus busca en la computadora infectada un archivo al azar con alguna de estas extensiones:

.BMP
.DOC
.GIF
.JPEG
.JPG
.RTF
.TXT

Luego, agrega dicho archivo en el cuerpo del mensaje a enviar, como parte del adjunto, el cuál también tiene el cuerpo del gusano propiamente dicho.

Cómo nombre del adjunto, usa el del archivo recolectado en la máquina infectada, y le agrega como segunda extensión, una de las siguientes:

.EXE
.LNK

Ejemplos:

Nombre_original.doc.lnk
Nombre_original.jpg.exe

Luego envía el mensaje a todas las direcciones electrónicas recolectadas de archivos .JS, .HTM, .HTML, etc., del sistema infectado. Utiliza una conexión SMTP.

El gusano intenta además propagarse a través de los recursos compartidos de una red, copiándose a si mismo en la carpeta de la papelera de reciclaje de cada disco C:, además de agregar dicha referencia en los archivos WIN.INI (run=) de cada computadora remota:

\RECYCLED\notdelw.i.n.v.e.r.y.i.f.y.exe

Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\System\windowsagent.exe
C:\Windows\drocerrbk.sys
C:\Windows\System\drocerrbk.sys
C:\RECYCLED\notdelw.i.n.v.e.r.y.i.f.y.exe

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WindowsAgent

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[Windows]
run=C:\RECYCLED\notdelw.i.n.v.e.r.y.i.f.y.exe

Debe quedar como:

[Windows]
run=

3. Grabe los cambios y salga del bloc de notas.

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com