TETTONA.EXE
EURO.EXE
TATOO.EXE

No posee carga destructiva, pero crea un troyano del tipo backdoor, que puede permitir el control remoto de la computadora infectada por parte de un atacante.

Programado en C++ y comprimido con la utilidad Petit Win32 Executable Compressor, este gusano se copia a si mismo como DLLMGR32.EXE en el directorio de Windows (C:\Windows\DLLMGR32.EXE).

Cuando se ejecuta por primera vez, para despistar muestra un mensaje de error falso con el siguiente texto:

Error
VBRUN49.DLL not found!
Unable to execute
[    Aceptar    ]

Luego modifica el registro, para autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DllManager = C:\Windows\dllmgr32.exe

"C:\Windows" puede variar de acuerdo al sistema operativa instalado.

El gusano contiene sus propias rutinas SMTP (Simple Mail Transfer Protocol), la que utiliza para enviar copias de si mismo a los contactos de la libreta de direcciones de Windows (.WAB).

La información del usuario y del servidor SMTP, las obtiene de la siguiente entrada del registro:

HKCU\Software\Microsoft\Internet Account Manager\Accounts

La ubicación y nombre de la libreta de direcciones, de la siguiente entrada:

HKLM\Software\Microsoft\WAB\WAB4\Wab File Name

El mensaje que envía es idéntico al que nosotros recibimos infectado, conteniendo uno de los tres adjuntos mencionados antes (TETTONA.EXE, EURO.EXE o TATOO.EXE), todos de unos 34 Kb de tamaño aproximadamente.

En el campo del destinatario, siempre figura lo siguiente:

Para: <Undisclosed-Recipient:;>

En el "Asunto:", uno de los siguientes:

Incredibile..

Urgente! (vedi allegato)

Qualsiasi cosa fai,falla al meglio.

Incredible..

Como texto, uno de los siguientes:

Ciao,
okkio all'allegato ;-)
A presto...

Ciao,
devi assolutamente vedere il file che ti ho allegato.
A presto...

Ciao,
apri subito l'allegato,e' molto interessante.
A presto...

Hello,
see this interesting file.
Bye.

También crea un semáforo para indicar que ya se ha enviado por correo:

C:\Windows\DLLMGR32.DAT

El gusano usa los siguientes campos en la cabecera del mensaje:

X-Mailer: Frali' ViRii v.3 by 4nt4R35 (June2002)
X-MimeOLE: Don'tWorry:It'sNotDangerous.ILoveTheWorldAndThePeople.Bye.

También libera y ejecuta un troyano del tipo backdoor en el sistema, el cuál queda a la escucha por el puerto TCP/IP 5001, esperando comandos que pueden permitir obtener el control de la computadora infectada.


Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale las siguientes:

Dlmgr32
dllmgr32.exe

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

DllManager

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Actualice y ejecute uno o más antivirus al día.

10. Si corresponde, con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\Windows\dllmgr32.exe
C:\Windows\DLLMGR32.DAT

Nota: Además de lo explicado en este artículo, recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com