Windows Secirity Upgrade

This is an upgrade for Microsoft Windows 9x/Me/NT/2000
to solve some protocol TCP/IP problems and for SSL
(Secure Sockets Layer) secure system exploration.

Do you want to install the upgrade now?

[   Aceptar   ] [   Cancelar   ]

Si el usuario selecciona [Aceptar], el gusano muestra este mensaje:

Upgrade
Upgrade completed, thank you

Luego (y esto ocurre también si se pulsa en el botón [Cancelar] de la ventana anterior), el gusano se instala en el sistema, copiándose a si mismo en la carpeta de Windows, con el nombre de WINSYS.EXE:

C:\Windows\WINSYS.EXE

También modifica el registro de Windows para ejecutarse automáticamente cada vez que Windows es reiniciado:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WLWin = C:\Windows\WINSYS.EXE

Otros cambios en el registro le sirven para conocer si el sistema ya ha sido infectado:

HKLM\Software\Microsoft\Windows\CurrentVersion
WLKey = 1

El gusano también crea el archivo NAVER.TXT en el directorio System de Windows:

C:\Windows\System\NAVER.TXT

En este archivo de texto el gusano escribe el cuerpo del mensaje infectado:

----- Texto del mensaje infectado -----

Re: Windows Upgrade

and the message text 
Use this patch!!, goodbye 

>
> From: "Micosoft upgrades" 
> To: "Windows users" 
> Subject: Upgrade
> Date: Mon, 11 Jun 2001 11:02:34 +0200 
>
> Microsoft programs bugs that are costantly found, are immediately often solved by little
> patches, that are regulary pubblished on the official site, but despite this only few
> users use this patches. Because of this a lot of users consider Microsoft systems
> unsecure, you can solve all the problems at base, upgrading costantly the system,
> because of this Microsoft® decided to exploit FAQ mail to reach the majority of users.
> By FAQ mail you have recived it, that contain the first upgrade, naver.exe file
> (Upgrade 11 Jun 2001), an upgrade that is used for increase security of Windows system
> protocol TCP/IP problems and for SSL (Secure Sockets Layer) secure system exploration.
> For a correct operation copy naver.exe in c: and run it
>
> Foward this mail at your friends with the relative attachment or if you don't want to
> receive any other upgrades send an empty mail to deletelist@microsoft.com with subject
> "Delete from database". 
>
> We thank in advance all the users that will agree the project.
>
> Answerable Microsoft® Upgrades John Milton
> http://www.microsoft.com/security/
>

Archivo adjunto: NAVER.EXE

----- Final del texto del mensaje infectado -----

Este mensaje es enviado a todos los contactos de la libreta de direcciones del Outlook.

Bajo ciertas circunstancias, el gusano se borra a si mismo, eliminando sus propios archivos, y quitando toda referencia a él en el registro. Si esto ocurre, el gusano muestra este mensaje:

VIRUS !!!!!!!!!!!
Virus Eclisse has infected
Don't try to close the counter before zero otherwise it will be restarted, the system will be released only when the countdown counts zero.

Now you are able to use your computer, this Virus automatically delete itself, byez. ( Translation by M_O_R_B_O )

Como sacar el virus de un sistema infectado

Para eliminar el virus manualmente, siga estos pasos:

1. Primero ejecute un antivirus al día, y borre los archivos WINSYS.EXE y NAVER.EXE.

2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WLWin

5. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: Kaspersky Antivirus, Symantec
(c) Video Soft - http://www.videosoft.net.uy