Asunto: Parrot screensaver
Texto: Hehe hey, look at this screensaver :)
Archivo adjunto: PARROT.SCR

Si el usuario ejecuta el adjunto (un supuesto salvador de pantalla), el virus crea varios archivos. Primero, una copia de si mismo en el raiz de la unidad C:

C:\PARROT.SCR

Luego, un archivo de audio en formato MP3 en el directorio donde esté instalado Windows (indicado por la variable %WinDir%). Por defecto, C:\Windows:

C:\Windows\PARROT.MP3

El audio de este archivo contiene la siguiente frase:

Hi there, I'm Parrot, the talking virus, written by Jigabyte.

También crea este otro archivo de audio en la misma ubicación:

C:\Windows\HELLO.MP3

El audio de este archivo, contiene el siguiente texto ofensivo, dirigido a Graham Cluley, principal consultor de tecnología del antivirus Sophos:

You'd better not fuck on the table Graham Cluley, you son of a bitch. I don't even know the lady and she calls me a son of a bitch! Later, I go to eat at a bigga restaurant. The waitress brings me a spoon and a knife, but no fork. I tell her, I wanna the fork. The tella me everyone wanna fuck. I tell her you no understand, I wanna fork on the table. She say you better no fuck on the table, you son of a bitch. I don't even know the lady and she calla me a son of a bitch. I - don't - need - this

También crea este archivo de proceso por lotes:

C:\Windows\WINSTART.BAT

El contenido de este último archivo es el siguiente:

@cls 
@echo You're infected with Parrot, the talking virus, 
@echo by Gigabyte/Metaphase

Genera además el siguiente archivo en Visual Basic Script:

C:\Windows\MSG.VBS

Este archivo muestra una ventana con el siguiente texto (igual al que es escuchado a través del MP3 visto antes):

VBScript: Parrot

You'd better not fuck on the table Graham Cluley, you son
of a bitch. I don't even know the lady and she calls me a
son of a bitch!

Later, I go to eat at a bigga restaurant. The waitress
brings me a spoon and a knife, but no fork. I tell her, I
wanna the fork. The tella me everyone wanna fuck. I tell
her you no understand, I wanna fork on the table. She say
you better no fuck on the table, you son of a bitch. I
don't even know the lady and she calla me a son of a
bitch. I - don't - need - this

Luego, el virus renombra cada archivo .EXE encontrado en la carpeta C:\Windows (o donde esté instalado Windows), como *.PRT, a excepción de estos, a los que el virus no toca:

EXPLORER.EXE
PTSNOOP.EXE
RUNDLL.EXE
TASKMON.EXE
WSCRIPT.EXE

Luego del cambio, los archivos .EXE, quedan como .PRT (por ejemplo, REGEDIT.PRT, NOTEPAD.PRT, etc.). El virus se copia entonces con el nombre original de esos archivos y por lo tanto REGEDIT.EXE, NOTEPAD.EXE, pasan a ser el propio virus.

A partir de este momento, cada vez que uno de estos archivos es llamado por el sistema, o por el propio usuario, se ejecuta primero el virus, y luego de su acción, se le pasa el control al archivo .PRT asociado.

Cuando el virus (archivo .EXE) es ejecutado, se reproduce el sonido del archivo PARROT.MP3. El archivo .PRT asociado es copiado como HOST.EXE y luego se le pasa a este el control.

Por ejemplo, si el usuario abre el bloc de notas (NOTEPAD.EXE), entonces se ejecuta el virus (que como vimos tomó el lugar de todos los .EXE de esa carpeta). Se hace escuchar el audio que vimos más arriba, y el archivo NOTEPAD.PRT es copiado como HOST.EXE, que es el bloc de notas, que finalmente será ejecutado.

HOST.EXE es borrado cuando la aplicación es cerrada. Pero debido a este proceso, será imposible correr más de un archivo ejecutable al mismo tiempo (no se podrá crear otro HOST.EXE mientras exista el anterior).

El virus también crea o sobreescribe el archivo C:\MIRC\SCRIPT.INI, conteniendo el nuevo SCRIPT las instrucciones para enviar el archivo C:\WINDOWS\PARROT.SCR a otros usuarios de los canales de IRC. Si la ubicación del mIRC no es la indicada (no lo es por defecto), el virus falla en su intento de propagarse vía IRC.

El gusano también genera las siguientes claves en el registro, para cargar un archivo de audio y mostrar una ventana de mensajes, cada vez que Windows se reinicia:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado)=hello.mp3

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
(Predeterminado)=msg.vbs

Cuando se ejecuta el virus, también genera numerosos archivos .TMP en la carpeta C:\Windows, con nombres al azar de 27 caracteres cada uno.

Windows funcionará mal una vez infectado, debido a la imposibilidad de ejecutar más de un .EXE al mismo tiempo. Y además, se escuchará el audio que ya vimos, cada vez que se corra un .EXE.

También el apagado de Windows será problemático.

Finalmente, el virus intentará enviarse automáticamente en un mensaje como el descripto al principio, a los primeros 2000 usuarios (o los que hayan), de la libreta de direcciones.


Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Primero, cierre todas las ventanas abiertas.

2. Pinche en Inicio, Ejecutar, y teclee COMMAND (más ENTER).

3. En la ventana MS-DOS escriba lo siguiente (ENTER al final de cada línea):

copy   %Windir%\*.prt   %Windir%\*.exe   /Y

del   %Windir%\*.prt 

4. Cierre la ventana MS-DOS


Para limpiar el registro, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "Run". En el panel de la derecha debería ver algo como:

(Predeterminado)        "hello.mp3"

4. Pinche sobre el nombre "(Predeterminado)" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave. Luego de ello, debería aparecer lo siguiente de inmediato:

(Predeterminado)        "(valor no establecido)"

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunOnce

3. Pinche sobre la carpeta "RunOnce". En el panel de la derecha debería ver algo como:

(Predeterminado)        "msg.vbs"

4. Pinche sobre el nombre "(Predeterminado)" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave. Luego de ello, debería aparecer lo siguiente de inmediato:

(Predeterminado)        "(valor no establecido)"

Nota: si bien la clave RunOnce se ejecuta una sola vez, el virus podría haberla creado en su última ejecución. Ignore estos pasos si no aparece nada bajo dicha clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Borrar archivos del virus (si no han sido borrados antes por el antivirus)

1. Pinche en Inicio, Buscar, Archivos o carpetas.

2. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

3. En la casilla "Nombre" escriba (o "corte y pegue") lo siguiente:

parrot.scr, parrot.mp3, hello.mp3, winstart.bat, msg.vbs, host.exe

4. Pinche en "Buscar ahora".

5. Si aparecen esos archivos, márquelos.

6. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

7. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Glosario:

(1) Virus de compañía (companion). Se les llama virus de compañía, a los virus que no infectan directamente a otro archivo, sino que toman su nombre, se ejecutan primero, y luego de su acción maliciosa, le pasan el control al archivo original, o sea "acompañan" al archivo que será su víctima, sin infectarlo directamente (más allá de renombrarlo). En este caso, no se cumple lo de ejecutar luego el archivo original.


Fuente: Network Associates
(c) Video Soft - http://www.videosoft.net.uy