Asunto: Update your Anti-virus Software
Datos adjuntos: TASKMAN.EXE

Texto:
Here is a patch for your AV software, it will cover
all the latest out breaks of worms ect (worms as in
virus not earth worms! lol)

Es capaz de borrar archivos con las extensiones .JPG, .MPG, .BMP, y .AVI de algunos directorios, además de sobrescribir los archivos NOTEPAD.EXE y TASKMAN.EXE.

Cuando se ejecuta por primera vez en una computadora infectada, el gusano crea una copia de si mismo en las siguientes ubicaciones:

C:\AUTOEXEC.EXE 
C:\Windows\SCREENSAVER.EXE 
C:\Windows\System\AVUPDATE.EXE

También sobrescribe las siguientes aplicaciones, suplantándolas por su propio código:

C:\Windows\NOTEPAD.EXE
C:\Windows\TASKMAN.EXE

Para autoejecutarse en cada reinicio del sistema, el gusano intenta crear la siguiente clave en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AVupdate = C:\Windows\System\Avupdate.exe

Debido a un error en su código, esto no funciona, ejecutándose en la máquina infectada solo a través de la ejecución de los archivos NOTEPAD.EXE (el bloc de notas) y TASKMAN.EXE (el conmutador de tareas de Windows), o de cualquier otro archivo infectado que sea ejecutado por el usuario o por el sistema.

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

El gusano corre en memoria como una tarea llamada Win32.mercury@mm.

Para propagarse, el gusano utiliza la red KaZaa, la popular aplicación para el intercambio de archivos entre usuarios, copiándose en la carpeta compartida de dicha aplicación con los siguientes nombres (ambos archivos son copias del propio gusano):

IPSpoofer.exe
Virtual Sex Simulater.exe

También se propaga a través del correo electrónico utilizando el Outlook, en un mensaje como el descripto al comienzo. Sin embargo esto solo funciona si el perfil actual es OUTLOOK, fallando en cualquier otro caso.

También sobrescribe el archivo SCRIPT.INI de la carpeta donde se encuentre el mIRC, el popular cliente de IRC (si este programa está instalado). El nuevo SCRIPT.INI envía una copia del gusano a todo usuario unido al mismo canal de chat visitado.

En forma simultánea, el gusano libera y ejecuta un componente llamado "pr0n.bat", que tiene las instrucciones para borrar archivos con las extensiones JPG, MPG, BMP, y AVI de las siguientes carpetas (corresponden a las carpetas compartidas de utilidades P2P (KaZaa, BearShare y eDonkey):

C:\Program Files\Kazaa\My Shared Folder\
C:\program files\bearshare\shared\
C:\program files\eDonkey2000\incoming\

Luego de ejecutar "pr0n.bat", el gusano lo borra.


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\AUTOEXEC.EXE C:\Windows\SCREENSAVER.EXE C:\Windows\System\AVUPDATE.EXE C:\Program Files\KaZaA\My Shared Folder\IPspoofer.exe C:\Program Files\KaZaA\My Shared Folder\Virtual Sex Simulalar.exe

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares al descripto antes.


Cómo recuperar NOTEPAD.EXE y TASKMAN.EXE

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

NOTEPAD.EXE (repita lo mismo después para TASKMAN.EXE)

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

NOTEPAD.EXE (repita lo mismo después para TASKMAN.EXE)

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com