De: [dirección del remitente infectado]
Asunto: Re: hya
Datos adjuntos: install.exe
Texto: Istall the program in the attachment.

Opción 2:

De: "Microsoft" <support@microsoft.com>
Asunto: WindowsXP Service Release Pack 2.002
Datos adjuntos: install.exe
Texto: Istall the program in the attachment.

En este último caso, cómo dirección de respuesta (Reply-To) figura la siguiente:

"Microsoft" <microsoft@microsoft.com>

Cuando INSTALL.EXE es ejecutado por el usuario, el gusano muestra la siguiente ventana con un mensaje de error falso:

Error
Error! This process will be terminated
[   OK   ]

El gusano llamará la función API "RegisterServiceProcess", para ocultarse de las tareas que se están ejecutando (en Windows 9x).

También finaliza todos los procesos en memoria que contengan las siguientes cadenas (generalmente procesos de conocidos antivirus):

alert
antivir
av
av
cfi
f-
firew dvp
fp-
icl
mcafee
mon
nod32
pcc
pccw
scan
sweep
tds2-
trap
vet
vshw

Una copia del gusano es creada en la carpeta Windows\System:

C:\Windows\System\WINSYSxxx.EXE

Las "xxx" representan un número de dos o tres dígitos, ej.:

winsys205.exe
winsys76.exe
winsys145.exe

También se crea la siguiente entrada en el registro para permitir su ejecución en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Kernel32.dll module = C:\Windows\System\WINSYSxxx.EXE

El gusano intenta utilizar la aplicación WINZIP32.EXE para crear una versión comprimida (.ZIP) de si mismo en la carpeta Windows\System:

C:\Windows\System\W32SYSxxx.ZIP

Las "xxx" corresponden a tres dígitos similares a los de WINSYSxxx.EXE.

También sobrescribe el archivo SCRIPT.INI del programa mIRC, con las instrucciones para enviar el archivo .ZIP creado, a todos los usuarios que compartan los mismos canales de chat a los que se conecte la computadora infectada.

Si WINZIP32.EXE no existiera en el sistema infectado, el envío a través del IRC falla, pero SCRIPT.INI igualmente es modificado.

Una versión codificada en base64 (un estándar para el envío a través del correo electrónico) es creada en el raíz de la unidad C: con el nombre de BOOT64.BIN:

C:\boot64.bin

Este archivo es usado por el gusano para su rutina de propagación vía e-mail.

Las direcciones de correo a las que se envía, son tomadas de los archivos .HTM localizados en las carpetas de Archivos temporales de Internet y sus subcarpetas.

El gusano envía un mensaje como los descriptos antes a cada dirección localizada.

Los datos de la cuenta de correo actual, y servidor SMTP, son tomadas del registro, o en su defecto el gusano utiliza datos incluidos en su código.

El gusano se configurará para ejecutar cada 50 segundos, su rutina de envío masivo de correo electrónico. Esto ocasiona enlentecimientos del sistema y degradación del rendimiento general de la conexión a Internet.

También examina el registro, para localizar la carpeta de transferencia utilizada por los programas P2P (Peer-To-Peer), Kazaa, Morpheus, BearShare o eDonkey2000. De localizarla, se copia allí, con los siguientes nombres (todos copias del gusano, de 32 Kb):

kmd22.exe
wamp3.exe
winxpserial.exe
wmplay9.exe

Si la carpeta no existe, esos archivos se copian en el raíz de C.

Después que se produce la infección, el gusano crea la siguiente entrada en el registro:

HKLM\Software\PieceByPieceB
inf = "yep"

Cuando la fecha actual es 18 de octubre, una ventana de mensajes con el siguiente texto es mostrada:

I-Worm/PiecebyPiece.B by MI_pi...
"Sucking back a cigarette
Thinking about new regrets
Trying to be somenone you'd like to be
Passing faces on the road
Where the hell can still we go?
Leave us open to temptation..."

-Feeder <Piece by Piece>

[    OK    ]

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Kernel32.dll module

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\PieceByPieceB

5. Pinche en la carpeta "PieceByPieceB" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
12/nov/02 - Alias: W32/Jonbarr.C, W32.Jonbarr.C@mm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com