De: [dirección usuario infectado]
Asunto: Hello
Texto: You will find all you need in the attachment.
Datos adjuntos: Setup.exe

De: john@barrysworld.com
Asunto: Hello
Texto: You will find all you need in the attachment.
Datos adjuntos: Setup.exe

De: "Microsoft" <information@microsoft.com>
Asunto: Internet Explorer vulnerability patch
Texto: You will find all you need in the attachment.
Datos adjuntos: Setup.exe

En este último, cómo dirección de respuesta (Reply-To) figura la siguiente:

"Microsoft" <microsoft@microsoft.com>

Cuando SETUP.EXE es ejecutado por el usuario, el gusano muestra la siguiente ventana con un mensaje de error falso:

Error
This program has performed an illegal operation
[   OK   ]

Mientras, el gusano finaliza todos los procesos en memoria que contengan la cadena "av" o "AV" (generalmente procesos de conocidos antivirus).

Una copia del gusano es creada en la carpeta Windows\System:

C:\Windows\System\WINSYSxxx.EXE

Las "xxx" representan un número de dos o tres dígitos, ej.:

winsys205.exe
winsys76.exe
winsys145.exe

También se crea la siguiente entrada en el registro para permitir su ejecución en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows task32 sys = C:\Windows\System\WINSYSxxx.EXE

El gusano intenta utilizar la aplicación WINZIP32.EXE para crear una versión comprimida (.ZIP) de si mismo en la carpeta Windows\System:

C:\Windows\System\WIN32SYSxxx.ZIP

Las "xxx" corresponden a tres dígitos similares a los de WINSYSxxx.EXE.

También sobrescribe el archivo SCRIPT.INI del programa mIRC, con las instrucciones para enviar el archivo .ZIP creado, a todos los usuarios que compartan los mismos canales de chat a los que se conecte la computadora infectada.

Si WINZIP32.EXE no existiera en el sistema infectado, el envío a través del IRC falla, pero SCRIPT.INI igualmente es modificado.

Una versión codificada en base64 (un estándar para el envío a través del correo electrónico) es creada en el raíz de la unidad C: con el nombre de MSBOOTLOG.SYS:

C:\Msbootlog.sys

Este archivo es usado por el gusano para su rutina de propagación vía e-mail.

Las direcciones de correo a las que se envía, son tomadas de los archivos .HTM localizados en las carpetas de Archivos temporales de Internet y sus subcarpetas.

El gusano envía un mensaje como los descriptos antes a cada dirección localizada.

Los datos de la cuenta de correo actual, y servidor SMTP, son tomadas del registro, o en su defecto el gusano utiliza los siguientes datos incluidos en su código:

john@barrysworld.com
smtp.barrysworld.com

En el caso de dicho servidor, está configurado para enviar mensajes cada 50 segundos.

También examina el registro, para localizar la carpeta de transferencia utilizada por el programa KaZaa. De localizarla, se copia a si mismo allí, con los siguientes nombres:

icq2002.exe
mirc6.exe
winamp.exe
wincrack.exe

Si la carpeta no existe, esos archivos se copian en el raíz de C.

Después que se produce la infección, el gusano crea la siguiente entrada en el registro:

HKLM\Software\RedCell
infected = yes

Cuando la fecha actual es 15 de setiembre, una ventana de mensajes con el siguiente texto es mostrada:

I-Worm/PiecebyPiece
"Cause nothing ever lasts forever
We're like flowers in this vase, together
You and me, it's pulling me down
Tearing my down, piece by piece
And you can't see
That's it's like a disease
Killing me now, it's so hard to breathe"
-Feeder <Piece by Piece>
[   OK   ]

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Windows task32 sys

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\RedCell

5. Pinche en la carpeta "RedCell" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com