\command.exe
c:\windows\system\iexplore.exe
c:\windows\system\kernel66.dll
c:\windows\system\lmmib20.dll
c:\windows\system\msjdbc11.dll
c:\windows\system\mssign30.dll
c:\windows\system\netmeeting.exe
c:\windows\system\odbc16.dll
c:\windows\system\ravmond.exe
c:\windows\system\spollsv.exe
c:\windows\systra.exe

El archivo "COMMAND.EXE", se copia en todas las unidades de disco excepto CDROM y removibles.

Si se ejecuta desde un acceso FTP como se explica más adelante, también puede existir el siguiente archivo:

c:\windows\system\hxdef.exe

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).

Se agrega al registro, creando las siguientes entradas. Luego de ello, el gusano se ejecuta cada vez que se reinicia Windows:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = ravmond.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
SystemTra = c:\windows\systra.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Hardware Profile = c:\windows\system\hxdef.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft NetMeeting Associates, Inc. = netmeeting.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
VFW Encoder/Decoder Settings =
"rundll32.exe mssign30.dll ondll_reg"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Program In Windows = c:\windows\system\iexplore.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Protected Storage = "rundll32.exe mssign30.dll ondll_reg"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Shell Extension = c:\windows\system\spollsv.exe

El gusano también se registra a si mismo como un servicio llamado "_reg":

HKLM\System\CurrentControlSet\Services
_reg = "rundll32.exe msjdbc11.dll ondll_server"

El gusano utiliza las rutinas MAPI (Messaging Applicaton Programming Interface) para propagarse por correo electrónico, enviándose como respuesta a otros mensajes encontrados en el sistema.

Detalles del mensaje:

Asunto: Re: [asunto del mensaje que se responde]

Texto del mensaje:

[texto del mensaje que se responde]

[nombre dominio] auto-reply:
wrote:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.

> Get your FREE [nombre dominio] now! <

Donde [nombre dominio] es el mismo dominio del destinatario.

Datos adjuntos: [uno de los siguientes]

britney spears nude.exe.txt.exe
deutsch bloodpatch!.exe
dreamweaver mx (crack).exe
dsl modem uncapper.rar.exe
how to crack all gamez.exe
i am for u.doc.exe
industry giant ii.exe
joke.pif
macromedia flash.scr
me_nude.avi.pif
s3msong.mp3.pif
setup.exe
sex in office.rm.scr
shakira.zip.exe
starwars2 - cloneattack.rm.scr
the hardcore game-.pif

[nombre] @ aol.com
[nombre] @ hotmail.com
[nombre] @ msn.com
[nombre] @ yahoo.com

Donde [nombre] es seleccionado al azar de una lista interna del gusano.

Asunto: [uno de los siguientes]

Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test

Texto del mensaje: [uno de los siguientes]

Mail failed. For further assistance, please contact!

The message contains Unicode characters and has been
sent as a binary attachment.

It's the long-awaited film version of the Broadway hit.
The message sent as a binary attachment.

Datos adjuntos: [uno de los siguientes]

body.bat
body.exe
body.pif
body.scr
data.bat
data.exe
data.pif
data.scr
doc.bat
doc.exe
doc.pif
doc.scr
document.bat
document.exe
document.pif
document.scr
file.bat
file.exe
file.pif
file.scr
message.bat
message.exe
message.pif
message.scr
readme.bat
readme.exe
readme.pif
readme.scr
test.bat
test.exe
test.pif
test.scr
text.bat
text.exe
text.pif
text.scr

Las direcciones a las que se envía esta segunda variante de mensajes, son obtenidas de archivos de la máquina infectada con las siguientes extensiones:

.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab

El gusano también se propaga por recursos compartidos en redes, utilizando los siguientes nombres de archivos:

autoexec.bat
cain.pif
client.exe
documents and settings.txt.exe
findpass.exe
i386.exe
internet explorer.bat
microsoft office.exe
mmc.exe
msdn.zip.pif
support tools.exe
windows media player.zip.exe
windowsupdate.pif
winhlp32.exe
winrar.exe
xcopy.exe

También examina todas las máquinas de la red local (si existiera), e intenta logearse en ellas como administrador, utilizando alguna de las siguientes contraseñas:

Admin
admin123
Administrator
alpha
computer
database
enable
godblessyou
Guest
Internet
login
Login
mypass
mypass123
mypc123
oracle
owner
passwd
Password
password
pw123
secret
server
super
sybase
temp123
test123
000000
00000000
123abc
123asd
12345
54321
121212
123123
1234567
11111111
88888888
123456789

Si obtiene éxito, el gusano se copia a si mismo como NETMANAGER32.EXE en la siguiente ubicación:

\\[nombre computadora]\admin$\system32\netmanager32.exe

También inicia un servicio llamado "Windows Management NetWork Service Extensions" y crea un recurso de red compartido, llamado "Media".

Crea un archivo llamado AUTORUN.INF en el directorio raíz de todas las unidades de disco excepto CDROM y removibles, con las instrucciones para ejecutar el archivo del gusano llamado COMMAND.EXE (no confundir con COMMAND.COM de sistemas Windows 9x y Me).

El gusano se propaga también por la red KaZaa, copiándose en la carpeta compartida de este programa, con los siguientes nombres:

blackicepcpsetup_creak.bat
blackicepcpsetup_creak.exe
blackicepcpsetup_creak.pif
blackicepcpsetup_creak.scr
herosoft.bat
herosoft.exe
herosoft.pif
herosoft.scr
orcard_original_creak.bat
orcard_original_creak.exe
orcard_original_creak.pif
orcard_original_creak.scr
ord_pass_creak.bat
ord_pass_creak.exe
ord_pass_creak.pif
ord_pass_creak.scr
passware5.3.bat
passware5.3.exe
passware5.3.pif
passware5.3.scr
rainbowcrack-1.1-win.bat
rainbowcrack-1.1-win.exe
rainbowcrack-1.1-win.pif
rainbowcrack-1.1-win.scr
realone.bat
realone.exe
realone.pif
realone.scr
wrar320sc.bat
wrar320sc.exe
wrar320sc.pif
wrar320sc.scr

El gusano copia los siguientes archivos para ejecutar su rutina de acceso remoto por puerta trasera en la máquina infectada:

c:\windows\system\lmmib20.dll
c:\windows\system\msjdbc11.dll
c:\windows\system\mssign30.dll

Estos archivos son idénticos a los de Lovgate.Q, y realizan las mismas acciones. Abren ciertos puertos e inmediatamente envían mensajes de notificación a un usuario remoto, avisándole que la computadora infectada está conectada y puede ser accedida.

Mediante comandos enviados por el intruso a través del puerto abierto, se puede obtener toda la información sensible de la computadora atacada, además de poder modificar la configuración del propio troyano.

Esta información es almacenada por el troyano en el siguiente archivo:

c:\netlog.txt

Hace uso de un cliente FTP (NETMEETING.EXE), para conectarse a un servidor FTP remoto. Si la conexión es exitosa, se envía y ejecuta a si mismo con el nombre HXDEF.EXE.

Los datos de la actividad del FTP son almacenados en los siguientes archivos ubicados en la misma carpeta de ejecución del gusano:

results.txt
win2k.txt
winxp.txt

El gusano crea los siguientes archivos con extensión .ZIP o .RAR en el raíz de todas las unidades de disco excepto CDROM y removibles:

email.rar
email.zip
install.rar
install.zip
letter.rar
letter.zip
password.rar
password.zip

También puede finalizar los procesos activos que contengan la siguiente cadena en sus nombres:

mcafee
ravmon.exe
rfw.exe
rising
skynet
symantec

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

\command.exe
c:\windows\system\iexplore.exe
c:\windows\system\hxdef.exe
c:\windows\system\kernel66.dll
c:\windows\system\lmmib20.dll
c:\windows\system\msjdbc11.dll
c:\windows\system\mssign30.dll
c:\windows\system\netmeeting.exe
c:\windows\system\odbc16.dll
c:\windows\system\ravmond.exe
c:\windows\system\spollsv.exe
c:\windows\systra.exe

El archivo "COMMAND.EXE", se copia en todas las unidades de disco excepto CDROM y removibles.

IMPORTANTE: No borre "COMMAND.COM", ya que es un archivo legítimo de algunas versiones de Windows.

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en "Buscar en:" "Mi PC", y de tener seleccionada la opción "Incluir subcarpetas"

3. En "Nombre" ingrese (o corte y pegue), lo siguiente:

results.txt; win2k.txt; winxp.txt; autorun.inf

4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione "Todos los archivos y carpetas"

3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:

results.txt; win2k.txt; winxp.txt; autorun.inf

4. Verifique que en "Buscar en:" esté seleccionado "Mi PC"

5. Pinche en "Más opciones avanzadas"

6. Seleccione "Buscar en carpetas del sistema"

7. Seleccione "Buscar en subcarpetas"

8. Haga clic en "Búsqueda" y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows

3. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Run

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices 

3. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

SystemTra

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

Hardware Profile
Microsoft NetMeeting Associates, Inc.
VFW Encoder/Decoder Settings
Program In Windows
Protected Storage
Shell Extension

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services

5. Pinche en la carpeta "Services" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

_reg

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

10/may/04 - Alias: Win32.Lovgate.AE, Win32/LovGate.AE.Worm
10/may/04 - Alias: W32/Lovgate.x@MM!






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com