Asunto: FWD:Please read the message

Texto (1):
Whitehouse.gov invites you to give and share your opinion about the war in the Middle East .
Your voices may change the destny of two countries .
Palestine , Israel and peace .
These things are what you should write about.
Your message will be sent to Whitehouse.gov and it will be shown in the main page.
Downloade the Peace Messanger and send us your info :
http://mypage.ayna.com/whitehouse/MiddleastWar/Usersvoices
/PeaceMessanger.exe
Know that your message will not be ignored.
Thank you .

Whitehouse.gov

Datos adjuntos: PeaceMessanger.Exe

Otra variante:

Texto (2):
I've recieved a message from the Whitehouse.gov asking me to give my opinion about the war in the Middle East using the Peace Messanger I attached . Send your opinion and ask them to kill Sharon .

La ingeniería social usada por el creador del virus, intenta engañar al usuario para que envíe su opinión sobre la guerra entre Israel y Palestina nada menos que a la casa blanca norteamericana (aunque sea difícil de entender, aún son muchos quienes se creen estas cosas). Sin embargo, al estar el mensaje en inglés, disminuye las probabilidades de éxito con usuarios de habla hispana.

El gusano, no está encriptado, y algunas versiones están comprimidas con la utilidad UPX. El código está escrito en Visual Basic.

Cuando un usuario incauto, ejecuta el adjunto recibido, se muestra una ventana de diálogo donde se nos pide la opinión sobre la guerra mencionada, con opciones para completar diferentes campos con nuestros datos:

  Peace Messanger

  Write your message about the
  war in the Middle East
                          _______________
  First name:     [_______________]
                          _______________
  Last name:     [_______________]
                          _______________
  Country:          [_______________]
                          _______________
  Email:             [_______________]

  Your message:
   ___________________________
  [                                                      ]
  [                                                      ]
  [                                                      ]
  [___________________________]

  [       Send to Whitehouse.com      ]

Cuando el usuario completa los datos, se genera un mensaje con los siguientes detalles:

Para: Bush <aaz111@hotmail.com>
Asunto: Middle East War Message
Texto:
Im <Nombre ingresado en "First" y "Last name"> from <País ingresado en "Country">. My message is <contenido de lo ingresado en el campo "Your message">
Datos adjuntos: PeaceMessanger.Exe

Mientras ingresamos los datos y se cumple todo el proceso, el gusano se copia a si mismo a la carpeta System de Windows (C:\Windows\System, C:\WinNT\System32, etc.).

También modifica el registro para autoejecutarse en próximos reinicios:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
ZaCker = C:\Windows\System\PeaceMessanger.Exe

También crea las siguientes entradas en el registro:

HKEY_LOCAL_MACHINE\Software
aswear = C:\Windows\System\PeaceMessanger.Exe

HKEY_LOCAL_MACHINE\Software
Loves = "10"

HKEY_LOCAL_MACHINE\Software
DaLa = "5"

El programa se muestra como un icono de Windows para no resultar sospechoso.

También crea la siguiente entrada en el registro, que utiliza como marcador para mostrar o no la ventana de diálogo vista antes. Si el valor de "Zacker" no es 5, se muestra la ventana, y se coloca el valor 5, de modo que la próxima vez que se ejecute el gusano, no aparezca la ventana con el formulario.

HKEY_LOCAL_MACHINE\Software
ZaCker = "5"

Luego de ello, el propio gusano modifica su archivo original por uno conteniendo solo texto, pero manteniendo su nombre original.

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la entrada "ZaCker".

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE 
\Software

8. Pinche en la carpeta "Software" y en el panel de la derecha busque y borre las entradas "aswear", "Loves", "DaLa" y "ZaCker".

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com