C:\Windows\System\Runmsdsk32.vbs
C:\Windows\System\SiteList.vbs

Para autoejecutarse en cada reinicio de la computadora, el gusano crea la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Runmsdsk32 = "Wscript.exe c:\windows\system\Runmsdsk32.vbs %1"

El mensaje tiene este formato:

Asunto: Hey [nombre destinatario]!
Datos adjuntos: SiteList.vbs

Texto del mensaje:
[nombre destinatario]! Get free mp3s from the web
site that i go to!
I can get almost any music that I want, just look
at all the cool sites that I went to in the
attachments.

Bye

Si el sistema infectado fuera Windows NT o 2000, se copiaría en la siguiente ubicación:

C:\Winnt\Winnt32.vbs

Y también como uno de estos dos archivos:

C:\Winnt\system32\Jokes.vbs
C:\Winnt\system32\Pingjuan.vbs

Y agregaría la siguiente clave en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winnt32 = "Wscript.exe c:\winnt\Winnt32.vbs %1"

El mensaje enviado en este caso, sería como alguno de los siguientes:

Opción 1:

Asunto: Hello [nombre destinatario]!
Datos adjuntos: Jokes.vbs

Texto del mensaje:
Have fun with these great jokes!
[nombre del usuario infectado (falla)]

Opción 2:

Asunto: Hello [nombre destinatario]!
Datos adjuntos: Pingjuan.vbs

Texto del mensaje:
This is a picture of my girlfriend, isn´t she beatuful?
[nombre del usuario infectado (falla)]

C:\Windows\System32\Confidential.vbs
C:\Windows\[nombre al azar].vbs

En ocasiones también se copia como:

C:\Windows\System32\[nombre al azar].vbs
C:\Windows\TEMP\[nombre al azar].vbs

El [nombre al azar] consiste de 1 hasta 11 letras minúsculas, por ejemplo:

hxvkgnpsjgd.vbs

También se agrega al registro para autoejecutarse en próximos reinicios:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Runxpdsk32 = "Wscript.exe [nombre al azar] %1"

El mensaje en este caso, tendrá el siguiente formato:

Asunto:
Here is that file you wanted, [nombre destinatario].
Datos adjuntos: Confidential.vbs

Texto del mensaje:
This is the file you wanted - don't let anyone
else see it!
[nombre del usuario infectado (falla)]

También intenta insertar también el nombre del remitente en el mensaje, pero falla debido a un error en su código.

En el caso que el directorio System no fuera ninguno de los anteriores (instalación de Windows en carpetas diferentes a las usadas por defecto, por ejemplo), entonces el gusano se copiaría en las siguientes ubicaciones:

[carpeta al azar]\Runmnt32.vbs
%system%\HolidayPics.vbs

%system% corresponde a la carpeta que por defecto es Windows\System por ejemplo.

También agrega en este caso, la siguiente entrada en el registro, para el mismo cometido que en los casos anteriores:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Runmnt32 = "Wscript.exe [carpeta al azar]\Runmnt32.vbs %1"

El mensaje enviado tendría el siguiente formato:

Asunto: Check this out, [nombre destinatario]!
Datos adjuntos: HolidayPics.vbs

Texto del mensaje:
Hello [nombre destinatario],

check out these pictures of my last holiday!

Dont get jealous!
[nombre del usuario infectado (falla)]

Cómo en los casos anteriores, el gusano intenta también insertar el nombre del remitente en el mensaje, pero falla debido a un error en su código.

Si el día en que se ejecuta, fuera el 8 de agosto de cualquier año, el gusano utilizaría el siguiente mensaje para enviarse, sin importar la ubicación del directorio System ni la versión de Windows:

Asunto: Urgent Update!
Datos adjuntos:
[un archivo seleccionado al azar de la siguiente lista]:

SecurityUpdate.vbs
Update.vbs
UpdateSecurity.vbs
UpdateInstaller.vbs
UpdateSetup.vbs
Readme.vbs

Texto del mensaje:
[nombre destinatario],

Your computer will need this update to protect
your computer from new email viruses. I installed
this update and it works fine.

Thanks.

También se copiaría a si mismo usando un nombre al azar, en la carpeta System.

En todos los casos, por cada dirección de envío, el gusano crea una entrada en el registro como la siguiente:

HKCU\Software\Theory\Theory\RecordContacts
[nombre destinatario] = "[nombre destinatario]"

Usará estas entradas como comprobación de la acción, y para no reiterar las direcciones, evitando el envío de más de un mensaje a cada destinatario.

En todos los casos, el gusano crea el siguiente valor en el registro:

HKEY_CURRENT_USER\Software\Theory
Theory = "VBS/Theory by Zed"

Luego, también en todos los casos anteriores, el gusano se copia a si mismo en cada archivo con extensiones *.VBS y *.VBE que hayan sido encontrados en las unidades de disco locales y de red, infectándolos (los mismos quedarán corruptos aún después de eliminar el gusano).

Además, busca en todos los discos y carpetas, archivos con las siguientes extensiones:

*.mp2
*.mp3
*.mpg
*.mpe
*.mpeg
*.avi
*.mov

Todos los archivos encontrados con esas extensiones, serán borrados y reemplazados con una copia del propio gusano, con el mismo nombre más la extensión .VBS.

Por ejemplo, si encuentra un archivo llamado TEMA.MP3 lo borra, y luego se copia a si mismo en la misma ubicación del archivo borrado, pero con este nombre: TEMA.MP3.VBS. La extensión .VBS quedará oculta en una instalación por defecto de Windows y cuando se intente hacer doble clic sobre TEMA.MP3 se ejecutará el gusano .VBS (ver en las referencias "Mostrar las extensiones verdaderas de los archivos").

Finalmente, el gusano entra en un bucle sin fin, para asegurarse que una copia del mismo siempre esté presente en el directorio del sistema, y en el registro de Windows. Aún si fuera borrado del disco, de permanecer en memoria, volvería a copiarse antes que el usuario reiniciara la computadora.


Archivos creados por el gusano

El gusano crea en cada infección, algunos de los siguientes archivos. Cuáles específicamente, varía de acuerdo a la versión de Windows instalada (ver descripciones anteriores). Aquí se muestran todos como referencia para su eliminación:

C:\Windows\System\Runmsdsk32.vbs
C:\Windows\System\Sitelist.vbs

C:\WinNT\System32\Winnt32.vbs
C:\WinNT\System32\Jokes.vbs
C:\WinNT\System32\Pingjuan.vbs

C:\Windows\System32\Confidential.vbs
C:\Windows\[nombre al azar].vbs

C:\Windows\System32\[nombre al azar].vbs
C:\Windows\TEMP\[nombre al azar].vbs
C:\Windows\[nombre al azar].vbs
C:\Windows\System\[nombre al azar].vbs
C:\Windows\TEMP\[nombre al azar].vbs

[carpeta al azar]\Runmnt32.vbs
[carpeta al azar]\Neotiewpics.vbs
[carpeta al azar]\HolidayPics.vbs
C:\Network.vbs

Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos no son reparables, y deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre cualquier entrada similar a las siguientes que aparezca:

Runmsdsk32 = "Wscript.exe c:\windows\system\Runmsdsk32.vbs %1"
Winnt32 = "Wscript.exe c:\winnt\Winnt32.vbs %1"
Runxpdsk32 = "Wscript.exe [nombre al azar] %1"
Runmnt32 = "Wscript.exe [carpeta al azar]\Runmnt32.vbs %1"

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Theory

5. Pinche en la carpeta "Theory" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
02/dic/02 - Alias: VBS/Blaspheme
03/dic/02 - Alias: VBS/Pheme
03/dic/02 - Agregado "Pingjuan.vbs" y lista de archivos



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com