From: mail@btamail.net.cn 
To: g_op@163.com 
X-Mailer: FoxMail 3.5 Release [cn] 
Reply-To: mail@btamail.net.cn

The attachment content id is:
Content-ID: <__0@Foxmail.net>

El cabezal del mensaje es modificado para explotar una conocida falla del Internet Explorer, con la que el gusano puede ejecutarse automáticamente, sin necesidad de abrir el adjunto.

Un mensaje con formato HTML, es esencialmente una página Web, y al leerlo en el Outlook u Outlook Express, el programa que se abre para visualizarla es el Internet Explorer (aunque lo haga dentro del Outlook).

La falla es una interpretación errónea en la lectura de algunas extensiones MIME. Las extensiones MIME permiten integrar dentro de un mensaje, archivos como imágenes, sonidos, y ejecutables, salvando de este modo las restricciones del protocolo SMTP (el protocolo para la transferencia de correo).

Cuando el gusano se ejecuta, el mismo extrae un archivo embebido en el código del mensaje, el cuál ha sido sacado de la máquina infectada anteriormente (la que envía el mensaje).

Este archivo puede tener las extensiones .BMP, .DOC, .GIF, .JPEG, .JPG, .RTF, o .TXT FILE.

Copia el mismo en la carpeta de temporales de Windows (C:\WINDOWS\TEMP por defecto), y lo abre.

El nombre de este archivo embebido da el nombre a la primera parte del nombre del adjunto. Por ejemplo, un archivo PRUEBA.DOC, daría el nombre de PRUEBA.DOC.EXE o PRUEBA.DOC.LNK (note la doble extensión).

El gusano se copia a si mismo a la carpeta Windows\System con el nombre kernelsys32.exe:

C:\Windows\System\kernelsys32.exe

Luego modifica el registro para ejecutarse automáticamente en el reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
IMEKernel32=C:\Windows\System\Kernelsys32.Exe

También genera un componente capaz de robar las contraseñas del ICQ. el cuál es grabado en la carpeta Windows o Windows\System, con el nombre de IMEKernel32.sys

El gusano se envía a todos las direcciones de correo encontradas en archivos con las extensiones .JS, .HTM y .HTML, utilizando SMTP.


Para limpiar su PC

Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como "Gop", etc.

Borre con REGEDIT (Inicio, Ejecutar, Regedit y Enter), la clave "IMEKernel32" de la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

Borre la entrada que aparezca: IMEKernel32 y finalmente ejecute uno o más antivirus actualizado.


Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

El virus utiliza el truco de la doble extensión para disimular la verdadera. Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

• En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
• En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
• En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.


Referencias:

VSantivirus No. 266 - 31/mar/01
Grave vulnerabilidad en extensiones MIME en IE 
http://www.vsantivirus.com/vulms01-020.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com