Asunto: Dating, Talking And Kissing...

Texto:
Here's visual some pics for you...
It will surely make your partner happier and wilder...
View the included file...

Adjunto: NUDEPIC.JPG.EXE

Note la doble extensión del adjunto, que simula ser una imagen (de alguien desnudo) en formato JPG, cuando en realidad es un ejecutable .EXE.

Si el usuario hace doble clic sobre dicho adjunto, entonces el virus se ejecuta, produciéndose la infección de la máquina, con el envío masivo a otros usuarios a través del coreo electrónico. Para esto último, hace uso de las funciones MAPI (Messaging Application Programming Interface).

También intenta matar los siguientes procesos si están presentes:

AVP Monitor (KAV Kaspersky Antivirus)
F-STOPW Version 5.06c (F-Prot para Windows)
NAI_VS_STAT (McAfee)
vettray (F-Secure, InoculateIT, Norman y Sophos)

Luego crea las siguientes entradas en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*Command=command.com /c copy /y c:\Windows\Data.dat c:\WINDOWS\SYSTEM32\scanregx.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*Ruckenbrod=c:\Recycled\pga\Irina4ever.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Vshwin32EXE=c:\WINDOWS\SYSTEM32\scanregx.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*Irina=c:\Recycled\Irina.exe 

HKCU\Control Panel\Desktop\
wallpaper=c:\WINDOWS\wallpaper.html

HKCU\Software\Microsoft\Internet Explorer\Desktop\General
BackupWallpaper=c:\WINDOWS\wallpaper.html

El gusano crea copias de si mismo en las siguientes ubicaciones:

c:\WINDOWS\Data.dat
c:\WINDOWS\Favorites\Nude.scr
c:\WINDOWS\Start Menu\Programs\StartUp\MenuDe.exe
c:\WINDOWS\TEMP\Irina.exe

El archivo c:\WINDOWS\wallpaper.html es creado con el siguiente texto:

I want a girl with big buttocks, like Irina...

Este texto es mostrado en el escritorio si el Active Desktop está activado (Ver como página Web).

En el cuerpo del virus, se encuentran estos textos, que no son mostrados:

Alcopaul says, "Go and get an antivirus.."
D I-Worm.IrinaMcclingker (01/01/2k2)

Para eliminar manualmente el virus, ejecute un antivirus actualizado en su sistema. Luego, utilice la descripción actual del virus, para borrar del registro las claves mencionadas (ejecute REGEDIT desde Inicio, Ejecutar), escriba REGEDIT y pulse Enter. Borre también los archivos creados por el virus, si el antivirus no lo hizo.

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

El virus utiliza el truco de la doble extensión para disimular la verdadera. Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.

- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.

- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Referencias:

VSantivirus No. 515 - Año 6 - Miércoles 5 diciembre de 2001
W32/Goner.A. Elimina software antivirus y cortafuegos
http://www.vsantivirus.com/goner-a.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com