Asunto: RE:
Datos adjuntos: [dos archivos con varios nombres]
Texto: files for you - from [usuario infectado]

Uno de los adjuntos es una copia del gusano (18,432 bytes). El segundo es un archivo de texto de tamaño variable.

Cuando se instala, muestra una ventana con este mensaje:

TacOny Worm
(c)thinK - tac1
[   Aceptar   ]

Luego se copia a si mismo en el directorio de Windows:

C:\Windows\Kn0x.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).

También agrega la siguiente entrada al registro, para autoejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinSrv = C:\Windows\kn0x.exe

El gusano intenta descargar una nueva versión desee un sitio Web predeterminado. Si ello tuviera éxito, guardará la nueva versión como C:\Windows\Zippy.exe.

La rutina de envío masivo de correo electrónico busca en los archivos temporales del caché del explorador, direcciones válidas (mailto:) en todos los archivos con extensiones .HTM y .HTML.

La lista de direcciones es creada en un archivo llamado EMAIL.TXT, creado en la misma carpeta donde se encuentre el ejecutable del gusano.

Intentará además capturar el nombre del usuario infectado, su dirección de correo y el servidor SMTP para enviarse a si mismo a todos los nombres recogidos en EMAIL.TXT, en un mensaje con las características ya descriptas.

El gusano se copia a si mismo en la carpeta actual, utilizando un nombre de archivo al azar y con extensión .EXE, .BAT, .SCR, o .PIF, extraído de la siguiente lista:

Anti 0190 Dialer 
Bearshare_Fix 
Beyond_FF11 
Borland Delphi 6 Key 
Borland Delphi(all) Crack
Britney Spears Nude 
Claudia_Schiffer 
Cube Emulator 
Edonkey_Fix 
Email Bomber 
Final_Fantasy10 
Flock_Update 
FTP Cracker 
FullSpeed 
Hotmail Hacker Tool 
I-Explorer7.0 
Jenifer Lopez Naked 
Kaza_Fix 
Kaza_Lite_Update_Fix 
McAffea_KeyGen 
Morpheus_Update_Fix 
New_Napster_Clone 
Pamela_Live_Fucking 
Ps2 Crack 
Ps2 Emulator 
Reboot 
Shakira Nude 
Symantec_KeyGen 
WinMx Hack 
WinXP_Crack 
XBox Emulator 

Este archivo será el enviado en los mensajes infectados.

El otro adjunto será un archivo de texto creado en la misma carpeta que el código del gusano, y con un nombre seleccionado al azar de la siguiente lista:

aCe1.theme
AddamsFamily.theme
AlexanderGrahamBellSecrets.zip
BackstreetBoys.theme
BritneySpearsNude.theme
ChristinaAguilera.theme
CIASecrets.zip
CounterStrikeCheats.zip
CourtneyCoxNude.theme
CplusplusUnleashed.zip
CreditCardNumbers.zip
CreditCards.zip
DisneyBedTimeStories.zip
DragonballZ.theme
DrNo.theme
EroticStories.zip
Goldfinger.theme
HackApacheServersScript.bat
Hackers.theme
HackHotmailScript.bat
HackIISServersScript.bat
Hacking101.zip
HackMozillaServersScript.bat
HackPayPalScript.bat
HackSQLServersScript.bat
HackXBoxScript.bat
HackYahooScript.bat
JamesBond.theme
JokeForTheDay.zip
kn0x.theme
LearnCSharp.zip
LearnHTML.zip
LearnKylix.zip
LearnPHP.zip
LearnVisualBasic.NET.zip
LearnVisualBasic.zip
LearnVisualC.zip
LearnVisualFoxPro.zip
LordoftheRings.theme
MakeMillions.zip
MichelleBranch.theme
NewsweekSeptemberEditionCompressed.zip
NicoleKidmanFuck.theme
NikolaTeslaNotes.zip
NSync.theme
Phreaking.zip
PlayboyCenterFolds.theme
RedirectMeToHollywood.bat
SamuraiX.theme
SecretsOfAlbertEinstein.zip
SecretsOfMicrosoftdotNET.zip
Shakira Nude.theme
Shrek.theme
StarWars.theme
StephenKingUnreleasedNotes.zip
Temp.bat
Temp.theme
Temp.zip
TheHives.theme
ThomasEdisonSecrets.zip
TipsOnMakingYourPartnerWild.zip
TroubleshootingyourComputer.zip
VirusWriting.zip
WindowsSourceCodeRedirect.bat
XXX.theme
YouWantToBeAMillionaire.zip

El tamaño del archivo de texto varía. El mismo se trata realmente de un archivo de texto, a pesar de las diferentes extensiones.

Para propagarse a través de computadoras conectadas a la red KaZaa, el gusano se copia en las siguientes carpetas de archivos compartidos que existan:

C:\KaZaA\My Shared Folder
C:\Program Files\KaZaA\My Shared Folder 

Utiliza para ello los siguientes nombres:

All GamesHack.exe 
HotMailHack.exe 
ICQ Password Hack.exe 
Macromedia Flash MX.exe 
Swat 3 Full Download.exe 
Tacony.exe 
Unreal Tournament 3 FullDownloader.exe 
WarCraft III Full.exe 
WIN XPCrack.exe

Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: 

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WinSrv = C:\Windows\kn0x.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
14/nov/02 - Alias: Win32.Hobbit.I, I-Worm.Alcaul.aa, W32/Hobbit.gen



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com