Asunto: Congratulations for your site

Texto:
Congratulations for your site
This is a good tool to improve it.
Best Regards.

Datos adjuntos: WebMakeFullInstall.exe

Si el usuario hace doble clic sobre el adjunto, el gusano se copia a si mismo al directorio System de Windows con el nombre de DEBUGW32.EXE.

También crea las siguientes claves en el registro, para autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Debug = C:\Windows\System\DebugW32.exe

Los directorios C:\Windows\System\ pueden tener diferentes nombres, de acuerdo a la versión de Windows instalada.

El gusano también crea copias de si mismo en la carpeta Windows y Windows\System. Los nombres de estos archivos son tomados de otros archivos presentes en esas ubicaciones, pero agregándosele la cadena '_vpe.exe'. Por ejemplo: CALC.EXE_VPE.EXE, porque en la carpeta Windows existe un archivo CALC.EXE.

Luego, el gusano crea un infector en formato VBS (Visual Basic Script), que por errores en su código no funciona, y lo coloca en la carpeta de inicio de Windows:

C:\WINDOWS\Menú Inicio\Programas\Inicio\START.VBS

El archivo está incompleto, y solo genera un mensaje de error cada vez que se ejecuta (cuando la computadora se reinicia). Su intención es enviar este mensaje:

Asunto: Important EMail for [nombre destinatario]
Datos adjuntos: start.vbs

El script busca en la carpeta 'My Documents' y sus subcarpetas, archivos con extensión .VBS y las sobrescribe con el código de START.VBS.

Aún cuando este script no funcione correctamente, en el próximo reinicio luego de la infección, el gusano envía un mensaje con el ejecutable original como datos adjuntos.

Para propagarse a través del Outlook, utiliza las funciones MAPI enviando un mensaje idéntico al descripto al principio, a todos los contactos de la libreta de direcciones del Outlook.

También se envía a todas las direcciones electrónicas recogidas de archivos con extensiones HTM y HTML de la computadora infectada, y de los siguientes archivos por defecto:

index.htm
index.html
index.asp
default.htm
default.html
default.asp
main.htm
main.html
main.asp

Eliminación manual del gusano

Para remover manualmente el gusano de un sistema infectado, proceda de la siguiente manera:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Debug

4. Seleccione Inicio, Buscar, Archivos o carpetas

5. En 'Nombre' escriba lo siguiente:

START.VBS

6. En 'Buscar en:' seleccione la unidad de disco que contenga Windows (usualmente C:), y pulse ENTER.

7. Si encuentra START.VBS en alguna carpeta de C:\Windows, borre el archivo.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Ejecute uno o más antivirus actualizados para revisar su sistema.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
26/jun/02 - Alias: Worm/Mars, I-Worm.Mars



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com