Zdrasti.. 
Ohoo!! 
Pisamce 
Liubofta e kato Rai, no moje da boli kato Ad 
TinKi WinKy!! 
HeY :) 
ZzZz :) 
Vajno!! 
Blondinkii:) 
Hi BaBy :) 
HeY.. 
aBcDeFgHiJkLmNoPqRsT.. 
Don't cry 
Very Important 
Miracle 
LOVE is like HEAVEN but it can hurt like HELL. 
Blondies Forever :) 
Hi!! 
WoWoWoWOWowo.. 
yoOo ;)

Como datos adjuntos, uno de los siguientes:

Love Zodiak.exe 
TNT!CC gEN.exe 
Panda Anti-Worm.exe 
Blondies.exe 
mTV Charts.exe 
Setup.exe 
Osama Your Mamma.exe 
[TNT]!CC geN.exe 
Sorry.exe 
Magic.exe 
Love.exe 
Zodiak.exe 
mTV.exe 
Faith.exe 
Kama Sutra.exe 
Fun.exe 
Smile.exe 
Pamela.exe 
Candy.exe

Cuando el usuario ejecuta alguno de dichos archivos (doble clic sobre el adjunto), el gusano muestra el siguiente mensaje falso:

WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.
[    OK    ]

Mientras, se copia a si mismo como:

C:\Windows\Rundll16.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).

También agrega la siguiente entrada en el registro, para autoejecutarse en próximos reinicios:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadCurrentProfile =
Rundll16.exe powprof.dll,LoadCurrentUserProfile

Luego, al azar, selecciona el nombre de un archivo en el directorio System de Windows, y se copia a si mismo con los siguientes cambios:

C:\Windows\System\[nombre seleccionado]2k.exe 
C:\Windows\System\[nombre seleccionado]16.exe 
C:\Windows\System\[nombre seleccionado]32.exe

Por ejemplo, si el gusano usa el nombre de archivo C:\Windows\System\Netapi.exe, entonces se copia como C:\Windows\System\Netapi2k.exe.

'C:\Windows\System' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

Luego modifica el archivo WIN.INI de C:\Windows:

[windows]
run = C:\Windows\System\[nombre del gusano]

También al azar, el gusano selecciona una subcarpeta en 'C:\Archivos de programa', y se copia a si mismo en dicha subcarpeta, con el mismo nombre de la carpeta más la cadena '2k', '16' o '32' agregada al nombre.

Por ejemplo, si el gusano encuentra la siguiente carpeta:

C:\Archivos de programa\Accesorios

Entonces se copia a si mismo como:

C:\Archivos de programa\Accesorios\Accesorios32.exe

Luego agrega esta entrada al registro. Por ejemplo:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Accesorios =
C:\Archivos de programa\Accesorios\Accesorios32.exe

El valor ('Accesorios' en el ejemplo), también varía según el nombre del archivo seleccionado.

El gusano también crea los siguientes archivos:

C:\Windows\Winfile.dll
C:\~msdos.---
C:\Windows\Def12x.dll 
C:\Windows\Rn3a.vxd

Todos estos archivos son de solo texto, y no contienen ningún código malicioso.

El gusano también cierra y termina la ejecución de toda ventana cuyo título contenga alguna de las siguientes cadenas:

black 
panda 
shield 
scan 
mcafee 
labs 
zone 
alarm 
agent 
avp 
msie 
navap 
mstask 
webcheck 
iomon 
nai_vs_stat 
virus

El gusano también examina todos los directorios y subdirectorios que contengan los siguientes textos en su nombre, y los borra al encontrarlos:

labs and zone 
kaspers 
mcafee 
panda 
avp 
pc 
cillin 
black and ice 
norton and virus

Luego, el gusano se envía a todas los remitentes de los mensajes presentes en la bandeja de entrada (mensajes recibidos), en alguno de los mensajes ya descriptos.

El gusano se copia también en recursos compartidos y unidades de red mapeadas, con los siguientes nombres:

Kama Sutra.exe 
GiRlZ FoReVeR (Wow).exe 
Nikita v1.1 (Zip).exe 
Pamela Anderson (Porno Installation).exe 
Britney Spears Naked.exe 
Teen Sex Cam.exe 
Kurnikova Screensaver (6+).exe 
CrEdIt CaRdZ gEn.exe 
SeX.eXe 
Faith.exe

Además, sobrescribe el archivo SCRIPT.INI del mIRC para autoenviarse a otros usuarios de los mismos canales de chat visitados por la víctima infectada.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

1. Reinstale en caso necesario y luego actualice sus antivirus con las últimas definiciones.

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados. Tome nota de los archivos infectados dentro de la carpeta C:\Archivos de programa\


Borrar en forma manual los archivos creados por el gusano

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en 'Buscar en:' la unidad 'C:', y de tener seleccionada la opción 'Incluir subcarpetas'

3. En 'Nombre' ingrese (o corte y pegue), lo siguiente:

Winfile.dll, ~msdos.---, Def12x.dll, Rn3a.vxd, SCRIPT.INI

4. Haga clic en 'Buscar ahora' y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione Todos los archivos y carpetas

3. En 'Todo o parte del nombre' ingrese (o corte y pegue), lo siguiente:

Winfile.dll, ~msdos.---, Def12x.dll, Rn3a.vxd, SCRIPT.INI

4. Verifique que en 'Buscar en:' esté seleccionado 'C:'

5. Pinche en 'Opciones avanzadas'

6. Seleccione 'Buscar en carpetas del sistema'

7. Seleccione 'Buscar en subcarpetas'

8. Haga clic en 'Buscar ahora' y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: 

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y luego en panel de la derecha busque y haga doble clic sobre la siguiente entrada:

LoadPowerProfile

4. Cambie la información del valor actual por el siguiente:

Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

5. Busque también los nombres que coincidan con los registrados en la opción ‘Reparación manual’, punto 3, y borre dichas entradas.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[Windows]
run = C:\Windows\System\[nombre del gusano]

Debe quedar como:

[Windows]
run=

3. Grabe los cambios y salga del bloc de notas.

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
06/nov/02 - Alias: WORM_OROR.A, W32/Roro.A-mm
06/nov/02 - Alias: W32/Roro, W32.HLLW.Oror@mm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com