Plexar.1214
Plexar (c) 2001 LiteSys -- Activado
[   OK   ]

Luego, el virus examina el directorio de Windows en busca del siguiente archivo:

raxelp.vbs

Si dicho archivo no es encontrado, el gusano se copia a si mismo en la misma carpeta, con uno de los siguientes nombres:

C:\Windows\Sex.jpg                    .exe
C:\Windows\Porno.gif                    .exe
C:\Windows\Free_XXX.jpg                    .exe
C:\Windows\Great_Music.mp3                    .exe
C:\Windows\Check_This.jpg                    .exe
C:\Windows\Cool_Pics.gif                    .exe
C:\Windows\Love_Story.html                    .exe
C:\Windows\Sexy_Screensaver.scr
C:\Windows\Free_Love_Screensaver.scr
C:\Windows\Eat_My_Shorts.scr

Note la doble extensión (.JPG y .EXE) en alguno de los nombres elegidos, separadas además por una cierta cantidad de espacios. Esto suele engañar la visualización, haciendo creer a la víctima, que se trata de una inocente imagen, por ejemplo. Además, en una configuración por defecto de Windows, las extensiones de los archivos más utilizados (.EXE por ejemplo), no son visibles por defecto.

El gusano crea también un archivo en Visual Basic Script:

C:\Windows\raxelp.vbs

Este script contiene el código para enviar el gusano a toda la lista de direcciones de la libreta de Windows, en mensajes como el siguiente:

Asunto: [vacío]
Texto: [vacío]
Datos adjuntos [uno de los siguientes]:

Sex.jpg                    .exe
Porno.gif                    .exe
Free_XXX.jpg                    .exe
Great_Music.mp3                    .exe
Check_This.jpg                    .exe
Cool_Pics.gif                    .exe
Love_Story.html                    .exe
Sexy_Screensaver.scr
Free_Love_Screensaver.scr
Eat_My_Shorts.scr

El gusano también crea el siguiente archivo ejecutable:

C:\cocofrio.com

Luego modifica el archivo c:\autoexec.bat para ejecutar dicho archivo en cada reinicio de la computadora.

Si el gusano se ejecuta en cualquiera de las siguientes fechas:

4 de enero
5 de febrero
7 de marzo
8 de agosto
12 de setiembre
16 de octubre
20 de noviembre
24 de diciembre

Se muestra el siguiente texto en pantalla:

                     ----< PLEXAR >----

        ...mas entretenido que un paseo en tractor...
...mas rapido que un plan adeco de embellecimiento urbano...
        ...mas limpio que la conciencia del gocho...
         ...mas animado que una paila de cotufas...

        ...y mas bolivariano que el soberano mesmo...


          (c) 2001 LiteSys // Hecho en Venezuela.
  Hasta pronto mi comandante...

El gusano también crea el siguiente archivo, que a pesar de su extensión, contiene código VBA:

C:\raxelp.$$$

Finalmente también crea otro script de Visual Basic en el directorio de Windows:

C:\Windows\plxwrd.vbs

Modifica además el registro, para asegurarse su ejecución en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Plexar = C:\Windows\plxwrd.vbs

Este script, inserta un código de macros (obtenido de "raxelp.$$$") dentro de las plantillas por defecto de Word y Excel. Cuando se ejecuta este código (al abrirse un documento nuevo), el macro libera una copia binaria del gusano dentro de la carpeta Windows y luego lo ejecuta:

C:\Windows\raxelp.exe

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Plexar

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\cocofrio.com
C:\raxelp.$$$
C:\Windows\raxelp.vbs
C:\Windows\raxelp.exe
C:\Windows\plxwrd.vbs
C:\Windows\Sex.jpg                    .exe
C:\Windows\Porno.gif                    .exe
C:\Windows\Free_XXX.jpg                    .exe
C:\Windows\Great_Music.mp3                    .exe
C:\Windows\Check_This.jpg                    .exe
C:\Windows\Cool_Pics.gif                    .exe
C:\Windows\Love_Story.html                    .exe
C:\Windows\Sexy_Screensaver.scr
C:\Windows\Free_Love_Screensaver.scr
C:\Windows\Eat_My_Shorts.scr

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares al descripto antes.


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre todas las líneas que mencionen a "C:\cocofrio.com"

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com