Asunto: <fwd:> Check this out
Datos adjuntos: SiteLinks.vbs

Texto del mensaje:
Check out these web links, I know you like these sites! ;)

Variante 2:

Asunto: <fwd:> The File
Datos adjuntos: SiteLinks.vbs

Texto del mensaje:
Hello, Here is that file that everyone was asking me
for. Don't let anyone else see it, please, because it
contains some pretty naughty stuff ;)

Variante 3:

Asunto: <fwd:> Readme File
Datos adjuntos: Readme.vbs

Texto del mensaje:
Hello, I am running a bit late. Just read the
Readme file for more information. <nombre computadora>

Si la fecha es 9 de mayo, los mensajes anteriores cambian por el siguiente:

Asunto: Fwd: Free Music!
Datos adjuntos: Mp3Sites.vbs

Texto del mensaje:
Hello! Go to these sites that I'm sending to you
now. You can get basically any music file or Music video
file that you want! Enjoy! <nombre computadora>

El gusano se propaga también a través de los clientes de IRC mIRC, pIRCh32, y de las redes de intercambio de archivos KaZaa, BearShare, Edonkey2000, Grokster, Morpheus e ICQ.

Cuando se ejecuta el adjunto, el virus examina las plantillas NORMAL.DOT existentes por si ya están infectadas. Para ello, las busca en el camino indicado por la siguiente clave del registro:

HKCU\Software\Zed/[rRlf]\Grouch\1.0\NormalTemplate

Si la clave no existe, entonces el gusano abre la aplicación Microsoft Word y escribe su código a la plantilla NORMAL.DOT. De este modo, el gusano se ejecuta cada vez que un documento de Word es abierto o cerrado.

También crea el archivo "WinGrc32.dll":

C:\Windows\System\WinGrc32.dll

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

El virus también deshabilita las siguientes opciones del menú de Word:

1. Herramientas, Opciones, General, Confirmar conversiones al abrir

Los documentos en formatos diferentes a los de Word (por ejemplo .TXT) pueden ser convertidos al formato de Word automáticamente. El usuario no recibe el pedido de confirmación para esta conversión.

2. Herramientas, Opciones, General, Protección antivirus en macros

Los documentos conteniendo macros pueden ser abiertos automáticamente. El usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97). Word 2000 actúa diferente con esta protección, y no es afectado en este caso. En ese caso el virus también examina si el Word usado es el 2000 o XP, y cambia la configuración de la seguridad a BAJA, modificando el registro.

3. Herramientas, Opciones, Guardar, Preguntar si guarda la plantilla normal

El usuario no es consultado para aceptar o no los cambios a la plantilla NORMAL.DOT, siendo estos grabados automáticamente, sin su conocimiento.

También deshabilita la actualización de pantalla durante la infección, así como el uso de la tecla ESC o Escape.

Tampoco son mostrados los mensajes de error.

Cuando el virus de macro se ejecuta (al abrir o cerrar un documento), busca la presencia de los archivos de configuración del mIRC y del pIRCh, modificándolos para propagarse a través del DCC a otros usuarios conectados a los mismos canales de chat.

Cuando se envía a través del correo electrónico (en mensajes ya descriptos en esta página), el gusano borra los mensajes enviados, en un intento de ocultar su presencia.

El gusano guarda la lista de sus víctimas de correo electrónico en las siguientes ramas del registro:

HKCU\Software\Zed/[rRlf]\Grouch\1.0\Outlook\RecordContacts

Para autoejecutarse en próximos reinicios de Windows, el gusano crea la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSGrc32 = "Wscript.exe C:\Windows\System\WinGrc32.dll %1"

En su rutina de propagación a través de recursos compartidos en Internet, el gusano crea los siguientes archivos:

1000 Porn Sites.vbs
Hacking made easy.vbs
How to make a virus.vbs
Hot Links.vbs
How to make a bomb.vbs

Y los copia en las siguientes carpetas, pertenecientes a conocidos programas de intercambio de archivos tipo P2P:

C:\Archivos de programa\Kazaa\My Shared Folder
C:\Kazaa\My Shared Folder
C:\My Downloads
C:\Archivos de programa\KaZaA Lite\My Shared Folder
C:\Archivos de programa\Bearshare\Shared
C:\Archivos de programa\Edonkey2000
C:\Archivos de programa\Morpheus\My Shared Folder
C:\Archivos de programa\Grokster\My Grokster
C:\Archivos de programa\ICQ\Shared Files

Y en todas las unidades mapeadas, de la "A:" a la "Z:" como:

C:\Saved Document
D:\Saved Document
[...]
Z:\Saved Document

Aunque se propaga en todos los Windows (95, 98, Me, NT, 2000 y XP), solo en XP ejecuta su rutina maliciosa cada 9 de mayo. En esa fecha, procede a borrar todos los archivos en el disco duro, mostrando luego una ventana de diálogo con el siguiente texto:

Windows XP now has permanent errors.

Algunas de sus rutinas no se ejecutan apropiadamente bajo todas las circunstancias posibles.


Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre el siguiente archivo:

C:\Windows\System\WinGrc32.dll

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

MSGrc32

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Zed/[rRlf]

5. Pinche en la carpeta "Zed/[rRlf]" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Como limpiar documentos de Word infectados

Ejecute uno o más antivirus actualizados con las últimas definiciones. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm


Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Macro, Seguridad, y cambie el nivel a Alto.


Información adicional

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com