Asunto: Are you [nombre del destinatario] my valentine?

Texto:
Hi [nombre del destinatario] my valentine, remember me?
I ain't seen you in ages! Anyway, check-out and play the
attached guess-the-number-game to guess who I am.
See you soon, bye-bye!

Archivo adjunto (una de estas opciones):

GuessGame.html
GuessGame.vbe

La versión HTML del gusano, se asemeja a una página Web. Si el usuario ejecuta el .VBE o intenta visualizar el .HTML, una serie de ventanas aparecerá:

Al usuario se le muestra entonces una ventana con el siguiente contenido:

VBScript: Guess Game

Guess Game instructions:

1. Save it on your computer Desktop or in My Documents, 
don't open as attachment else it won't load.
2. This game requires ActiveX technology, press Yes on 
the following dialog to play.

[      OK      ]

Al pulsar en el botón [OK], una ventana de advertencia de Windows aparecerá. La ejecución del código viral solo será posible si el usuario contesta también que [SI] a la siguiente opción:

Internet Explorer

Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?

[      Si      ] [      No      ]

Si no se acepta, el gusano no podrá copiarse. En caso contrario, continuará con el siguiente proceso:

Si el archivo adjunto es el HTML, el código del virus embebido en este archivo creará y ejecutará en el disco de la víctima, el archivo "GuessGame.vbe". Si el adjunto es el .VBE, directamente se ejecuta este archivo, que es el código del gusano.

Cuando se ejecuta el .VBE, el gusano se copia a si mismo en la carpeta SYSTEM de Windows.

En concreto, son creados los siguientes archivos:

C:\Windows\System\GuessGame.vbe 
C:\Windows\System\GuessGame.vbs 
C:\Windows\System\GuessGame.bat

El gusano intenta entonces enviarse vía e-mail a otras futuras víctimas, tomadas de la libreta de direcciones de la computadora infectada.

Dependiendo si el adjunto era el HTML o el VBE, intentará enviar como adjunto el archivo HTML en el primer caso, o directamente el VBE en el segundo.

El gusano crea también una copia del archivo .VBE como "GuessGame.VBS" en la carpeta SYSTEM (puede permanecer allí latente antes de actuar, por varios días). El archivo en Visual Basic Script tiene las rutinas para modificar el registro usadas por el gusano.

También crea un archivo de proceso por lotes llamado "GuessGame.bat" en la misma carpeta, y lo ejecuta en una ventana en modo MS-DOS. La ejecución de este .BAT cambia la fecha de Windows a la del 8 de abril de 1981.

Crea dos entradas en el registro de Windows que quitan algunas de sus funcionalidades, la primera deshabilita la acción del SFC (el Comprobador de archivos de sistema) para recuperar archivos modificados o borrados (Windows 98, 2000, Me y XP):

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable=0xFFFFFF9D

El valor de SFCDisable = 0 (CERO) por defecto.

La siguiente modificación, impide crear o modificar iconos y otros archivos en el escritorio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDesktop=1

El valor normal es CERO, o la eliminación de la clave NoDesktop.

El gusano procede entonces a borrar todos los archivos y subdirectorios de las siguientes carpetas:

AllUsersDesktop 
AllUsersPrograms
Desktop
MyDocuments
Programs
Windows
Windows\System
Temp
Windows\COMMAND
Windows\INF
Windows\SYSBCKUP
Windows\SYSTEM32
C:\
C:\My Documents
C:\Documents and Settings
C:\Program Files
C:\Inetpub

También borra este contenido en unidades conectadas en red.

Vuelve a crear y ejecutar el archivo "GuessGame.bat" en la carpeta SYSTEM, y luego agrega su contenido a todos los archivos AUTOEXEC.BAT encontrados tanto en la unidad C:\, como en todas las demás unidades de red compartidas, con la idea de ejecutar la rutina de borrado al iniciarse Windows (solo Windows 95 y 98).

Este BAT contiene las ordenes para borrar las carpetas vistas antes, así como todos los archivos que tengan las siguientes extensiones:

sys 
dll 
ocx 
cpl 
dat 
com 
exe 
cab 
ini 
inf 
vxd 
drv 
doc 
xls 
mdb 
ppt 
mp3 
jpg 
txt 
htm 
html 
hta 
asp 
aspx

Borra también las siguientes ramas del registro:

HKCU\Control Panel\
HKCU\InstallLocationsMRU\ 
HKCU\Software\Microsoft\Internet Explorer\ 
HKCU\Software\Microsoft\Office\ 
HKCU\Software\Microsoft\Windows\ 
HKCU\Software\ODBC\
HKLM\Enum\ 
HKLM\Software\Microsoft\Internet Explorer\ 
HKLM\Software\Microsoft\Office\ 
HKLM\Software\Microsoft\Windows\ 
HKLM\System\ 

El gusano lanza entonces al usuario, una ventana para participar en un juego de adivinanzas de números (tenga en cuenta sin embargo, que cuando esto último ocurra, ya habrán sido borrados archivos críticos de Windows):

Las ventanas son:

Guess Game

I have thought of a number ranging from 1 to 100 you tries
to guess it.

[      OK      ]

Al pulsar en [OK], saldrá la última ventana, donde podremos ingresar nuestra apuesta:

Guess Game

Enter you guess. (1 to 100)

Tries left: 10

[                                                          ]

Métodos de limpieza

Limpiar un sistema infectado manualmente, solo será posible si la rutina de borrados de archivos no se ha producido. En caso contrario, la única forma de volver a tener Windows funcionando en una máquina que ya ha sido infectada, será con la instalación limpia de todos los programas, Windows incluido. Luego, podrá recuperar datos importantes de su unidad de respaldo (si no posee una unidad de respaldo, ignore esto).

Si la rutina del gusano no se ha ejecutado, proceda a eliminar los restos del gusano, todavía peligrosos. Simplemente, desde Inicio, Buscar, Archivos y carpetas, escriba "GuessGame" (sin las comillas) y pulse Enter. Borre luego todos los archivos que aparezcan con ese nombre.

Borre todos los mensajes con el asunto "Are you [su nombre] my valentine?".

Si los cambios vistos en el registro se han producido, cambie por los valores mencionados antes en esta descripción, aunque es poco probable funcione Windows, si ya se produjo la modificación en el registro. Tenga en cuenta además que existen otras modificaciones (borrados) de claves importantes que harán imposible el reinicio de Windows.

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora (solo en el caso de que aún no se haya activado su rutina destructiva), deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm 


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com