Norton AntiVirus
Microsoft® has released a new security patch for
all Microsoft® Windows Systems. Please Enter your
password to your Hotmail/Msn Account to have the
Patch Sent to you later to your email.
[   OK   ]

Cuando se selecciona el botón [ OK ], se muestra otra ventana, donde se le pide al usuario ingresar el nombre de usuario y contraseña de su cuenta "Hotmail/MSN/.Net Passport Account":

Microsoft® Windows Update
Windows® Update
Microsoft® Windows Update has released a free
patch for all Microsoft Windows® Operating
Systems. In order to Apply this patch you will
need to enter your Hotmail/Msn/.Net Passport
Account Username and Password to Continue.
____________________________________________
Name:     [_________________________________]
Password: [_________________________________]

[   Continue   ] [   Exit   ]

Si el usuario ingresa los datos pedidos, estos son almacenados en un archivo de texto local:

c:\password.txt

Al pulsar en el botón [ Continue ], se muestra un mensaje final:

Norton AntiVirus
We will now download the latest Windows® Update
Patch. Please Disable Any Firewalls or Antivirus
Software that may stop this download.
[   OK   ]

Después, el gusano crea las siguientes carpetas:

c:\program files\panda antivirus trial\
c:\program files\panda antivirus trial\core files
c:\windows\system32\norton\
c:\windows\system32\norton\defenitions\
c:\windows\system32\norton\defenitions\file\
c:\windows\system32\norton\defenitions\file\break

En cada una de ellas, se copia a si mismo con los siguientes nombres:

c:\program files\panda antivirus trial\core files\panda.exe
c:\windows\system32\norton\defenitions\file\break\winsys.dll
c:\windows\system32\norton\defenitions\file\break\winsys.exe

También intentará copiarse en las siguientes carpetas:

c:\my shared folder\linux mandrake.zip
c:\my shared folder\microsoft ® windows xp + gen.exe
c:\my shared folder\microsoft® visual basic 7.exe
c:\my shared folder\msn 8 cracked.exe
c:\my shared folder\msn6plus.exe
c:\my shared folder\norton antivirus 2003 + crack.exe
c:\my shared folder\norton ghost keygen.exe
c:\windows\rundlls.exe
c:\windows\winsys.dll
c:\windows\winsys.exe

Además intentará sobrescribir archivos existentes con su propio código, si aquellos son accesibles. Estos archivos deberán ser recuperados de respaldos anteriores:

c:\program files\msn messenger\msnmsgr.exe
c:\program files\norton antivirus\navw32.exe
c:\program files\yahoo!\messenger\ypager.exe
c:\windows\regedit.exe
c:\windows\rundll.exe
c:\windows\rundll32.exe
c:\windows\system\underwater.scr
c:\windows\wscript.exe

El gusano también modificará los siguientes archivos, si son accesibles, agregándoles 4,320 y 8,640 bytes respectivamente, cada vez que el gusano se ejecute:

c:\program files\norton antivirus\ccimscan.exe
c:\program files\norton antivirus\qconsole.exe

Intentará borrar los siguientes archivos:

c:\program files\msn messenger\msgslang.dll
c:\program files\yahoo!\messenger\res_msgr.dll

También intentará borrar todos los archivos con extensión .DLL y .INK, de las siguientes carpetas (si existen):

c:\windows\*.dll
c:\windows\desktop\*.ink
c:\winnt\*.dll

El gusano abre al azar un puerto TCP, y se contacta con el sitio web del autor, para descargar un archivo HTML renombrado como MIRCVIR.JPG, el cuál contiene un script de Visual Basic que intenta sobrescribir a SCRIPT.INI, el archivo de configuración del programa de chat, mIRC.

Otros archivos creados por el gusano:

c:\hello.bat
c:\home.vbs
c:\me.html
c:\windows\wscript.bat

Uno de estos archivos intentará cambiar la página de inicio del Internet Explorer (HOME.VBS), otro buscará colgar al navegador (ME.HTML). WSCRIPT.BAT intentará configurar como un recurso compartido a toda la unidad C, además de modificar la hora del sistema. Cuando se ejecuta, muestra una ventana DOS minimizada con el título "Finished - Wscript".

El gusano no modifica ningún archivo para autoejecutarse en cada reinicio, y solo permanece en memoria. Sin embargo, alguno de los componentes que puede descargar, puede llegar a instalar cualquier otro archivo con la capacidad de modificar el sistema para autoejecutarse.

Si la fecha del sistema es 7 de octubre de 2003, el gusano muestra un mensaje con el siguiente texto:

Happy Birthday ...:::Hackers:::...

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Reinicie su computadora para sacar el virus de la memoria.

2. Actualice sus antivirus con las últimas definiciones.

3. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

4. Borre los archivos detectados como infectados.

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\hello.bat
c:\home.vbs
c:\me.html
c:\my shared folder\linux mandrake.zip
c:\my shared folder\microsoft ® windows xp + gen.exe
c:\my shared folder\microsoft® visual basic 7.exe
c:\my shared folder\msn 8 cracked.exe
c:\my shared folder\msn6plus.exe
c:\my shared folder\norton antivirus 2003 + crack.exe
c:\my shared folder\norton ghost keygen.exe
c:\password.txt
c:\windows\rundlls.exe
c:\windows\winsys.dll
c:\windows\winsys.exe
c:\windows\wscript.bat

También borre las siguientes carpetas y su contenido:

c:\program files\panda antivirus trial\
c:\windows\system32\norton\

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com