Asunto: Re:Gollum

Texto del mensaje:

Hi Gollum its Nancy.

I was shocked, when I found out that it wasn't you
but your twin brother, that's amazing, you're as
like as two peas. No one in bed is better than you
Gollum. I remember, I remember everything very well,
that promised you to tell how it was, I'll give you
a call today after 9. He took my skirt off, then my
[...]
[el resto del mensaje posee palabras obscenas]

Datos adjuntos: fail.hta

FAIL.HTA es un archivo .ZIP con contraseñas. Dicho archivo contiene otro llamado TEXT.EXE. El usuario recibe otro mensaje con la contraseña actual para el archivo ZIP.

El gusano crea los siguientes archivos:

c:\windows\kaspersky.exe
c:\windows\ee98af.tmp

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KasperskyAv = c:\windows\kaspersky.exe

También crea las siguientes entradas para almacenar datos internos:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
Explorer
Explorer3

Mientras se ejecuta, el gusano se carga como un servicio, quedando oculto a los ojos del usuario en la lista de tareas activas de Windows 95, 98 y Me (CTRL+ALT+SUPR).

El gusano comprueba la conexión a Internet, tratando de resolver la dirección "www.google.com". Solo si tiene éxito crea y envía sus mensajes con adjuntos infectados. Para ello utiliza una selección de cadenas de texto incluidas en su código, de acuerdo a las siguientes características:

De: [remitentes variables]

Utiliza direcciones falsas, obtenidas de la máquina, o el nombre "john" seguido del dominio de cualquier dirección encontrada en la PC infectada.

Ejemplo:

john@dominio.com

Asunto: [variable]

Utiliza hasta cuatro componentes de las siguientes listas (no siempre incluye componentes de todas las listas):

Componente 1:

Re:
Re[2]:
Re[3]:

Componente 2:

smart
cool
sexy
super

Componente 3:

pics
images
pictures
photos
photo
picture

Componente 4:

private
only for you
just for you
imortant
very important

Ejemplos:

Re[2]: cool images
Re: images only for you
sexy pics

Texto del mensaje: [variable]

El texto del mensaje es construido con elementos tomados de las siguientes listas (no siempre incluye elementos de todas las listas):

Lista 1:

Hi
Hello
Good evening

Lista 2:

my dear
my dearest
my darling

Lista 3:

Adeline
Alice
Ann
Annice
Barbara
Bertha
Camilla
Cassandra
Catherine
Christina
Dorothea
Edith
Eleanor
Elizabeth
Ella
Ellen
Emma
Emmeline
Emily
Grace
Helen
Isabel
Jane
Janet
Jenny
Joanna
Johanna
Julia
Julian
Jillian
Katherine
Leonora
Lora
Lucy
Margaret
Mary
Nancy
Sarah
Valerie

Lista 4:

!
!!!
.
,

Lista 5:

I shocked
I wondered
It's amazing

Lista 6:

My mom
My dad
My boss
My sister
My brother

Lista 7:

wild
best
excellent

Lista 8:

sex
sex I ever seen

Lista 9:

last evening
last night

Lista 10:

with
togather with
with

Lista 11:

boss
mom
dad
girlfriend
friend
sister
brother

Lista 12:

Anthony
Art
Arthur
Barry
Bart
Ben
Benjamin
Bill
Bobby
Brad
Bradley
Brendan
Brett
Brian
Bruce
Bryan
Carlos
Chad
harles
Chris
Christopher
Chuck
Clay
Corey
Craig
Dan
Daniel
Darren
Dave
David
Dean
Dennis
Denny
Derek
Don
Doug
Duane
Edward
Eric
Eugene
Evan
Frank
Fred
Gary
Gene
George
Gordon
Greg
Harry
Henry
Hunter
Ivan
Jack
James
Jamie
Jason
Jay
Jeff
Jeffrey
Jeremy
Jim
Joe
Joel
John
Jonathan
Joseph
Justin
Keith
Ken
Kevin
Larry
Logan
Marc
Mark
Matt
Matthew
Michael
Mike
Nat
Nathan
Patrick
Paul
Perry
Peter
Philip
Phillip
Randy
Raymond
Ricardo
Richard
Rick
Rob
Robert
Rod
Roger
Ross
Ruben
Russell
Ryan
Sam
Scot
Scott
Sean
Shaun
Stephen
Steve
Steven
Stewart
Stuart
Ted
Thomas
Tim
Toby
Todd
Tom
Troy
Victor
Wade
Walter
Wayne
William

Lista 13:

!
!!!
.
:)
:))
=)

Lista 14:

%-)
%-( )
%-)))

Lista 15:

But
And

Lista 16:

switched on
power on
turned on

Lista 17:

my
digital

Lista 18:

canon
hp
samsung
viewsonic
acer
toshiba
LG
siemens
nokia
sony
panasonic
philips

Lista 19:

photo
video

Lista 20:

camera
device
cam

Lista 21:

make
create

Lista 22:

many
some
a lot of

Lista 23:

good
cool
excellent

Lista 24:

photos
pictures
images

Lista 25:

Heh
Please
So
I beg you
Well
And
But

Lista 26:

don't
do not

Lista 27:

show
send

Lista 28:

it
photos
images
pictures

Lista 29:

anybody else
to somebody
to your bro
to your mom
to your boss
to my bf
to your boyfriend
to your b/f
to my b/f

Lista 30:

ok?
okay?
deal?
I trust you.
I rely on you.

Ejemplo:

Hi my dear Alice !!!

I shocked

My mom had best sex I ever seen last night with
the sister of Anthony!!!

But switched on digital viewsonic photo device
and make a lot of good images

Please don't show it to somebody, ok?

Datos adjuntos: [nombre variable]

El nombre del adjunto está compuesto de la siguiente forma:

[1]+[2]+[3].[extensión]

Donde [1] es uno de los siguientes componentes:

my
priv
private
prv
the
best
super
great
cool
wild
sex
fuck

El componente [2] es uno de los siguientes:

- (signo "-")
_ (subrayado)
__ (doble subrayado)

El componente [3] es uno de los siguientes:

act
action
images
img
imgs
pctrs
phot
photos
pic
plp
scene

La [extensión], es seleccionada de la siguiente lista:

.exe
.gif.exe
.gif.pif
.gif.scr
.jpg.exe
.jpg.pif
.jpg.scr
.pif
.scr

Ejemplos:

best-images.exe
best-scene.jpg.scr
sex___pic.jpg.exe
my_pic.pif
private-imgs.gif.exe

El gusano obtiene las direcciones a las que se envía de los archivos con las siguientes extensiones, encontrados en determinadas carpetas del disco duro:

.avi
.bmp
.cab
.com
.dll
.exe
.gif
.jpg
.mp3
.mpg
.ocx
.pdf
.psd
.rar
.tif
.vxd
.wav
.zip

Los datos recolectados son almacenados en el siguiente archivo:

c:\windows\outlook.cfg

Estos datos también son enviados a una dirección de correo.

Para enviar los mensajes, intenta conectarse directamente a los servidores SMTP de los destinatarios, resolviendo la información necesaria con consultas al servidor DNS del usuario, y a los servidores SMTP de los destinatarios.

El gusano puede lanzar ataques de denegación de servicio (DoS) a los siguientes sitios:

darkprofits.cc
darkprofits.com
darkprofits.net
spews.org
www.darkprofits.cc
www.darkprofits.com
www.darkprofits.net
www.spews.org

Para ello genera miles de solicitudes HTTP (TCP/80), HTTPS (TCP/443) y tráfico ICMP (Protocolo de mensajes de control de Internet).

El gusano contiene en su código, el siguiente texto de advertencia:

*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? ***

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\ee98af.tmp
c:\windows\kaspersky.exe
c:\windows\outlook.cfg

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

KasperskyAv

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com