De: The SoftNet Security HQ <d.mike@netsecurityhq.com>
Asunto: Free Net Security Bullettin Service: New security hole.
Datos adjuntos: CP_2OOAF3.exe

Texto del mensaje:

Cumulative Patch: (CP_2OOAF3)
Priority: Medium/High
Patch availability: Win9x/NT/XP

The problems could let an attacker run code on your
machine, read certain types of data files on an
affected system, or misrepresent the origin of a file
offered for download. Please, make sure your system
is not affected by this problem by running the
attached Analyzer/Patch.

Regards,
The SoftNet Security HQ.
--
Mike Donovald
Softnet Security HQ
email:

Ejemplo 2:

De: Wine Richman <w.richman@itoneonline.org>
Asunto: Wine Richman - my updated resume.
Datos adjuntos: Wine_Richman.exe

Texto del mensaje:

Dear Ms. Tempton:

It was very enjoyable to speak with you tod ay about
the assistant account executive position at the Smith
Agency. The job seems to be an excellent match for my
skills and interests. The creative approach to
account management that you described confirmed my
desire to work with you.

Please find my updated resume in the attachment.

Sincerely,
Wine Richman
w.richman@itoneonline.org
File: Wine_Richman.exe ( Selfextracting zip archive )

Ejemplo 3:

De: Anne Rosoe <anne_resoe79@hotmail.com>
Asunto: Hi, news about the party !
Datos adjuntos: Party List-Anne.exe

Texto del mensaje:

Hi wazzzup ? As promised I'm sending you the zip with
all the details about the party and the list for the
things we are still missing.

Let me know what you think !
cheers Anne.

Ejemplo 4:

De: Skid Marton [@work] <enemy@8mileroad.ca>
Asunto: I mate, there you go...
Datos adjuntos: This_Is_How_I_Feel-Track-02.remixed.exe

Texto del mensaje:

Lyrics below and audio track file attached. Cya !

(It's okay, it's okay. I'm gonna make it anyway.)
Sometimes I just feel, like Quittin I still might
Why do I still write?
And show these people what my level of skill's like
Sometimes I just hate life, Somethin ain't right
I'm goin the fuck home, She don't understand
Time for me to just to take matters into my own hands
Sometimes I get upset I'm just tryin to do what's best
And I try Sit alone and I cry Please I'm beggin you God
Please don't let me be pigeon holdin on regular job
Wherever you are, I'm tellin you dog

I've got every ingredient All I need is the courage
Cuz I ain't havin no luck with this so fuck it

Ejemplo 5:

De: Stan Crossfert <stan.cros@NO_SPAMrabbitrun.org>
Asunto: Hi Marshall, here is my project for you to check...
Datos adjuntos: ProjectPlans.exe

Texto del mensaje:

Hey ya, check out the attached zip executable. Have a
look at the whole thing, but pay attention to Fiona's
plans (Folder Fiona\mywishes.txt ). She is going pretty
much out of the schemes.

Ah, I forgot, how's your mum ?

Cuando el gusano envía un mail a cada contacto de la libreta de direcciones, pone a todas las demás en el campo CCO: (usado para el envío de copias con destinatario oculto).

Esto hace que los mensajes sean enviados a cada dirección, tantas veces como usuarios existan en la libreta de Windows. Además, revela al menos a otra persona la dirección electrónica de la víctima infectada...

Además genera un flujo enorme de envío de datos, no solo por la cantidad de mensajes, sino también por el tamaño del adjunto, 936,111 bytes. Esto es especialmente notorio en los usuarios con conexión vía módem.

El gusano utiliza su propio motor SMTP para enviarse, no dependiendo de la presencia de un cliente de correo específico para ello. Utiliza los datos de configuración de la cuenta SMTP predeterminada de la víctima.

También intenta copiarse a si mismo en las carpetas compartidas de utilidades P2P como KaZaA, Overnet, LimeWire o Morpheus. Sin embargo esta característica parece no funcionar.

Estos son los archivos que pretende copiar:

[eBook] Sex And The City Zipped.exe
[eBook] The Black Art Of Hacking
[eBook] Visual Basic Programming Handlebook.exe
[eBook] WebSite Design Zipped.exe
[eBook]The Hacker Zipped.exe
ACDSee 5.0 (Crack+Serial).exe
Adobe Photoshop 6 KeyGen.exe
Age of Mythology (NoCD+Crack).exe
AGV Antivirus Pro.exe
Borland Delphi Trial Crack.exe
Britney Spear (Nude Pics Pack).exe
Castle Wolfstein Multiplayer KeyGen.exe
Civilization III (Latest Cracked Patch).exe
CuteFTP PRO (Serial included).exe
Diskeeper 7.0 (Trial Crack).exe
DivX Codecs Pack (All Needed codecs).exe
DivX Video Bundle
Doom 3 Leaked Beta.exe
Easy CD Creator 5 Preview Crack.exe
Eminem - 8 Mile Screensaver.scr
Eminem 8 Mile Censored Scene.exe
Eminem 8 Mile Wallpaper.exe
Eminem Desktop.exe
Final Fantasy ROM collection I.exe
GetRight 4.5e (KeyGen+Crack).exe
Hacker Tools Pack.exe
HyperSnap-DX (Full + Crack).exe
ICQ Sniffer.exe
kaspersky Anti-Virus
Kaspersky Anti-Virus Pro (KeyGen+Crack).exe
Leisure Suit Larry 6.exe
Lord Of The Rings Screensaver.scr
Lula The Sexy Empire (Full+Crack).exe
Macromedia Flash MX 6.0 Crack.exe
MAME ROMS Archive I.exe
MAME ROMS Archive II.exe
mIRC32 (Serial included).exe
MyStuff Archive.exe
Nero Burning Rom 5.5 KeyGen.exe
Nintendo64 Emulator (ROM included).exe
Old Games Collection I.exe
Paint Shop Pro 7 Crack.exe
Paint Shop Pro7 KeyGen.exe
PC-Cillin 9.02 (Keygen+Crack).exe
Personal Firewall Pro.exe
Personal Web Server.exe
Porn Games Collection I.exe
PornStar Pic.jpg.pif
Quake 3 Arena CD KeyGen.exe
Queens Of The Stone Age (Complete Album).exe
Stacy Valentine.pif
Strip Poker 3.exe
SWiSH 2.0 KeyGen+Crack.exe
The Eminem Show (Full Album).exe
The Sims Nude Patch.exe
The Sims Online Crack.exe
Unreal 2 0][0 3 (Official Crack).exe
Virtual Valerie 2.exe
Warcraft 3 Crack.exe
Window Blinds + KeyGen.exe
WindowsXP SP KeyGen.exe
WinXP Themes Pack.exe
Winzip 8.1 Full.exe
WinZip 8.1 KeyGen.exe
XCOM 3 Apocalypse.exe
ZoneAlarm Firewall.exe

Los nombres de archivos y otra información, está encriptada y no es visible en el ejecutable.

Cuando se ejecuta, el gusano se copia en las siguientes ubicaciones y nombres:

C:\Windows\systask32l.exe
C:\Windows\System\ln32k.exe

También crea una carpeta vacía, y con los atributos de oculta (+H).

C:\Windows\System\kindlyback

También crea un archivo que solo contiene la fecha del sistema del momento que se ejecutó el gusano.

C:\Windows\System\ln32k.DLL

Finalmente, crea las siguientes entradas en el registro para autoejecutarse en próximos reinicios del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SysService32 = C:\Windows\systask32l.exe

Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\systask32l.exe
C:\Windows\System\ln32k.exe
C:\Windows\System\ln32k.DLL
C:\Windows\System\kindlyback

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

SysService32

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com