Cajerosautomaticos!!!.DOC.pif 
YaNoPuedoTener$$$$$.DOC.pif 
EnNavarras.pif 
Facturas556.XLS.pif 
List.txt.by.Microsoft.com 
AuToDeTeRmInAzIon.Doc.pif 
PostalDeAmistad.pif

Cuando el virus se ejecuta, se muestra el siguiente mensaje de error falso:

Error
Not recognized error xxh
[ Aceptar ]

Donde 'xx' es un número al azar.

Luego, crea múltiples copias de si mismo con diferentes nombres en las siguientes ubicaciones:

%windir%\PostalDeAmistad.pif 
%windir%\AuToDeTeRmInAzIon.Doc.pif 
%windir%\List.txt.by.Microsoft.com 
%windir%\Facturas556.XLS.pif 
%windir%\EnNavarras.pif 
%windir%\YaNoPuedoTener$$$$$.DOC.pif 
%windir%\Cajerosautomaticos!!!.DOC.pif 
C:\ .exe 
C:\AVP40Crack.exe 
C:\ResidentEvil-Crack.exe 
C:\AVP-SpanishPatch.exe 
C:\PandaAllCracks.exe 
C:\MessengerSkins29.exe 
C:\HackTools.exe 
C:\MP3EncoderDecoder58.exe 
C:\GameCube-FreeEmulator.exe 
C:\PSX2-Emulator.exe 
C:\X-Box_Emulator.exe 
C:\PSXEmulator_Full.exe 
C:\CounterStrikeMoreServers.exe 
C:\Jedi2-FullCrack.exe 
C:\W98ToXpActualization.exe 
C:\WindowsXP-Serials.exe 
C:\GamesPSX2Emulator.exe 
C:\CopyPSXgamesV12.exe

La variable %windir% corresponde a la ubicación de Windows de acuerdo a la versión instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).

El gusano también intenta borrar los siguientes archivos, correspondientes a conocidos antivirus:

C:\Archiv~1\Perav\Pav.dll 
C:\Archiv~1\Perav\Per.dll 
C:\Program Files\Perav\Pav.dll 
C:\Program Files\Perav\Per.dll 
%windir%\Pav.exe 
%windir%\Bases\Avp.set 
%windir%\System\Vshield.vxd 
%windir%\System32\Vshield.vxd 
%windir%\Vshield.vxd

También crea o modifica los siguientes valores en el registro de Windows:

HKLM\SOFTWARE\KasperskyLab\SharedFiles
Folder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
BNexe = [Nombre de cualquiera de las copias del gusano] 
KAZAAkCuF = [Nombre de cualquiera de las copias del gusano]
PAV.EXE = C:\Windows
Zonavirus = [Camino de la copia del gusano]

Dependiendo de condiciones internas el valor "Zonavirus" puede ser cambiado por un número, relacionado con el valor de la hora actual.

Por cada archivo encontrado en la raíz de la unidad C: el gusano intenta sobrescribirlo con su propio código, usando el nombre original pero con el agregado de la extensión .EXE luego de un espacio.

También crea el archivo BanderaNegra.vbs en el raíz de la unidad C (detectado como una versión anterior del Kitro por todos los antivirus).

El gusano crea copias de si mismo con nombres diferentes para engañar al usuario, en la carpeta compartida del KaZaa o en el raíz de la unidad C: si la anterior no existe:

AVP40Crack.exe 
ResidentEvil-Crack.exe 
AVP-SpanishPatch.exe 
PandaAllCracks.exe 
MessengerSkins29.exe 
HackTools.exe 
MP3EncoderDecoder58.exe 
GameCube-FreeEmulator.exe 
PSX2-Emulator.exe 
X-Box_Emulator.exe 
PSXEmulator_Full.exe 
CounterStrikeMoreServers.exe 
Jedi2-FullCrack.exe 
W98ToXpActualization.exe 
WindowsXP-Serials.exe 
GamesPSX2Emulator.exe 
CopyPSXgamesV12.exe

El gusano también sobrescribe todos los demás archivos de la carpeta del KaZaa con su propia copia.

La rutina de propagación vía correo electrónico de esta variante es igual a las anteriores. El gusano envía una copia de si mismo como adjunto en un mensaje a toda la lista de contactos del MSN Messenger. El mensaje puede tener varios asuntos y textos.

El adjunto puede tener uno de estos nombres:

Cajerosautomaticos!!!.DOC.pif 
YaNoPuedoTener$$$$$.DOC.pif 
EnNavarras.pif 
Facturas556.XLS.pif 
List.txt.by.Microsoft.com 
AuToDeTeRmInAzIon.Doc.pif 
PostalDeAmistad.pif

Posibles asuntos:

Te han enviado una postal. 
Leelo y reenvialo a quienes aprecias. 
This is the last problem. 
Para los amigos. 
Fw: Enviame tu foto. 
Es posible que nos roben el dinero!!!. 
Banks vulnerabilitie.

Posibles textos de los mensajes:

Postales NetWork (c)1999-2002.

Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sue±o se hara realidad.

I send the list of problems now, so that you do not make case to the lies bye.

Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.

bueno, aqui esta la foto queme has pedido cuando viaje al pais vasco en verano!ja.

lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso.

si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas (no todas pueden estar presentes):

KAZAAkCuF
PAV.EXE
Zonavirus
BNexe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Actualice sus antivirus o reinstálelos (el virus intenta eliminar algunos archivos pertenecientes a conocidos antivirus, como PER, Kaspersky y VirusScan, aunque no lo logra en todos los casos).

7. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

8. Borre los archivos detectados como infectados por el virus


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com