Asunto:
Jenna Jameson pornostar free superfuck+photo addresses

Texto:
Do you wanna see super pornostar,Jenna Jameson,in a special
superfuck?Double click on the attachment of this mail,and 
get also some interesting sex-sex-sex addreses...

Datos adjuntos:
JENNA-JAMESON-FREE-SUPERFUCK.TXT.vbs

El adjunto, al utilizar una doble extensión, en la mayoría de los sistemas configurados por defecto, se mostrará en pantalla como un simple archivo de texto (.TXT), estando la extensión .VBS oculta por la característica de Windows de ocultar las extensiones más conocidas, a menos que configuremos nuestro Windows para que muestre todas las extensiones (ver al final de esta descripción).

En realidad es un script de Visual Basic (.VBS, Visual Basic Script), que contiene el código del gusano, y que se ejecuta al hacer doble clic sobre el adjunto. Cómo en realidad se muestra una ventana de texto con algunos enlaces, la acción del gusano puede pasar desapercibida para cualquier usuario inexperto. Esta es una de las razones que convierten a este virus en una seria amenaza, y con un gran potencial de propagación.

José Manuel López, Director Técnico de BitDefender España, advierte que como el número de mensajes con contenido pornográfico que llegan a nuestras cuentas de correo crece día a día, es realmente difícil para un usuario medio, identificar un virus como éste en ellos.

El problema con este virus en especial, es que si se ejecuta en nuestra PC, permanecerá latente para borrar todos los archivos del sistema operativo un día determinado (13 de mayo en las versiones actuales del gusano).

El mensaje que se abre contiene expresiones soeces, para simular se trata realmente de un archivo de texto (incluso se abre a través del bloc de notas o notepad.exe), es el siguiente:

Here are some VERY interesting addresses for SEX--SEX-SEX:
www.megapussy.com
www.fuck.com
www.tits.com
www.porn.com
www.superfuck.com
www.megatits.com
ALSO IN WWW.NTUA.COM U CAN DOWNLAOD:JENNA JAMESON SUPERFUCK,BILL GATES SMASHING HIS PC IN ANGER,PAMELA ANDERSON+TOMY LEE EXTRAFUCK VIDEO IN THE BOAT AND IN THE HOUSE,DEAD MAN BEING FUCKED BY A WOMAN,THE WOMAN WITH A DICK,THE LARGEST DICK IN AFRICA, A TIGER EATING HER KIDS,A DOG IS FUCKING MY AUNT,MATRIX 2:A SAMPLE JULIA ROBERT'S BLOWJOB,AND  THE SPECIAL THEME FROM: THE MOST TERRIBLE DICKHOLE IN EAST, KAJAYAMI
Please,pass this message to everyone u know,and enjoy!

Si nuestro PC está infectado, el día 12 de mayo se abrirá una ventana de diálogo con el siguiente texto:

From the KaGra
Your PC has been hacked by KaGra[ATZI virus ver 2.1]
[    OK    ]

Y el día 13 de mayo, el virus eliminará del sistema la carpeta C:\Windows o C:\Winnt, con todo su contenido (causa el cuelgue de Windows y la imposibilidad de reiniciarse).

Extrañamente, ya que se utiliza muy poco en la actualidad (aunque es una tendencia de muchos virus actuales), el gusano también se copia a un disquete si existiera alguno insertado en la disquetera.

Cuando se ejecuta, el virus crea la siguiente clave en el registro, para cargarse al inicio en forma automática, en próximos reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wupdate = C:\Windows\kernel32.vbs

También se copia a si mismo desde el adjunto infectado, a la carpeta de Windows (según el sistema operativo puede ser C:\Windows o C:\Winnt), como kernel32.vbs y JENNA-JAMESON-FREE-SUPERFUCK.TXT.vbs.

Además, se copia cómo "ALEXIA.TXT.vbs" en la carpeta del sistema (C:\Windows\system o C:\Winnt\system32).

Y cómo "Natasa.TXT.vbs" en la carpeta de archivos temporales (C:\Windows\temp o C:\Winnt\temp).

Si existe un disquete, también se copia a sí mismo en la disquetera con los siguientes nombres:

KISSme.TXT.vbs
PUSSY.TXT.vbs
FUCK.TXT.vbs
2TITS.TXT.vbs
myDICK.TXT.vbs
PORN.TXT.vbs
UFOxxx.TXT.vbs
ALIENS.TXT.vbs
theBAR.TXT.vbs
DrDICK.TXT.vbs

Si el virus está ubicado en la disquetera, se copia a su vez en el raíz del disco C como "C:\x-FUCK.TXT.vbs"

Además crea y modifica la siguiente clave del registro, la que usa como contador de sus propagaciones. Este contador, si llega a cinco, evita que el gusano se siga propagando.

HKEY_LOCAL_MACHINE\SOFTWARE\Wupdate

La propagación del gusano, se produce a través del Outlook, autoenviándose a todos los contactos de la libreta de direcciones en un mensaje con el propio gusano adjunto, el cuál es exactamente igual al descripto anteriormente.

Para borrar en forma manual este gusano de un sistema infectado, siga estos pasos:

1. Actualice sus antivirus

2. Ejecute el software antivirus en modo escaneo, y borre todos los archivos que aparezcan como infectados por este gusano

3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

4. Busque la siguiente rama del registro en el panel de la izquierda:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

5. Pinche en la carpeta "Run" y en el panel de la derecha borre la entrada "WUpdate"

6. Reitere la búsqueda en el panel izquierdo de esta clave:

HKEY_LOCAL_MACHINE
SOFTWARE
Wupdate

7. Pinche y borre la carpeta "Wupdate".

8. Reinicie su sistema


Referencias:

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Glosario

Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com