Asunto: Anti-Virus Programs are corrupting your Software!
Datos adjuntos: FUCK_AVs.exe

Texto: Want to know why you get junk mail? Well Here is
proof that AV's are corrupting your programs and Sell
your Private information to Web Company's! Why do you
think there are so much virus's out there? well its
these Company's that spread them and then sell you there
product to delete them! check it out now... (p.s. its
attatched)

El gusano se propaga en cambio, a través de los usuarios que comparten la red KaZaa, al descargar y ejecutar cualquiera de los archivos que el gusano crea en la carpeta de archivos compartidos del programa.

El icono del adjunto es una X verde sobre una carpeta del mismo color. Los iconos de los archivos creados en la carpeta de archivos compartidos del KaZaa son también de una X verde.

Cuando se ejecuta por primera vez en una computadora aún no infectada, se muestra una ventana de diálogo con el siguiente mensaje:

UH OH WORM!
... Calposa by Industry @ ANVXgroup ...
[    OK    ]

El gusano crea entonces copias de si mismo en los siguientes directorios:

C:\Windows
C:\Windows\System
\KaZaa\My Share Folder

En las carpetas Windows y Windows\System, crea copias de si mismo con los siguientes nombres:

C:\Windows\Activex.exe
C:\Windows\Fuck_avs.exe
C:\Windows\Msword.exe
C:\Windows\Scr.exe
C:\Windows\System\Explorer.exe

Los atributos de "Fuck_avs.exe" y "Explorer.exe" son puestos como de solo lectura (+R) y ocultos (+H) (Ver "Mostrar las extensiones verdaderas de los archivos").

También sobrescribe los siguientes archivos:

C:\Windows\Mixer.exe
C:\Windows\Regedit.exe
C:\Windows\Telnet.exe

Si la utilidad KaZaa está instalada, el gusano crea múltiples copias de si mismo en la carpeta por defecto del programa: "KaZaa\My Share Folder":

C:\Archivos de programa\KaZaA\My Shared Folder\Norton_crack.exe
C:\Archivos de programa\KaZaA\My Shared Folder\Sims_Patch.exe
C:\Archivos de programa\KaZaA\My Shared Folder\UT3_full_crack.exe
C:\Archivos de programa\KaZaA\My Shared Folder\Windows_Hack.exe

Las acciones más destructivas del gusano, son el borrado de los archivos MIXER.EXE, REGEDIT.EXE y TELNET.EXE (originales de Windows), que son sobrescritos por una copia del propio gusano, debiéndose recuperar de un respaldo o de los archivos de instalación de Windows.

También se sobrescribe el archivo SYSTEM.INI con el siguiente texto:

[about]
Author = Industry
VXgroup = ANVXgroup (Auxnet)
Virus = ANVX (WIN32.calposa@mm)
Shouts to = Indovirus, mANiAC89, Retro, Iwing, and every one else.
Fuck = Fuck all AV's, we keep you in a job so give us a bit of slack!
To the rest = ANVX the one and only!

Aunque el SYSTEM.INI original solo se utiliza para mantener la compatibilidad con archivos anteriores de Windows, su borrado puede causar comportamientos extraños al reiniciarse Windows. Si se tiene activa la herramienta "Restaurar sistema" en Windows Me y XP, el archivo puede ser recuperado de un punto de restauración anterior.


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

  C:\Windows\Activex.exe
  C:\Windows\Fuck_avs.exe
  C:\Windows\Msword.exe
  C:\Windows\Scr.exe
  C:\Windows\System\Explorer.exe
  C:\Windows\Mixer.exe
  C:\Windows\Regedit.exe
  C:\Windows\Telnet.exe
  C:\Archivos de programa\KaZaA\My Shared Folder\Norton_crack.exe
  C:\Archivos de programa\KaZaA\My Shared Folder\Sims_Patch.exe
  C:\Archivos de programa\KaZaA\My Shared Folder\UT3_full_crack.exe
  C:\Archivos de programa\KaZaA\My Shared Folder\Windows_Hack.exe

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares al descripto antes.


Cómo recuperar MIXER.EXE, REGEDIT.EXE y TELNET.EXE

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

MIXER.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

9. Repita los mismos pasos para los archivos REGEDIT.EXE y TELNET.EXE

En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

MIXER.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").

9. Repita los mismos pasos para los archivos REGEDIT.EXE y TELNET.EXE


Examinar el archivo SYSTEM.INI

1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Si existe lo siguiente siga con el punto 3. SI NO EXISTE, salga del bloc de notas sin hacer cambios:

[about]
Author = Industry
VXgroup = ANVXgroup (Auxnet)
Virus = ANVX (WIN32.calposa@mm)
Shouts to = Indovirus, mANiAC89, Retro, Iwing, and every one else.
Fuck = Fuck all AV's, we keep you in a job so give us a bit of slack!
To the rest = ANVX the one and only!

3. SI EXISTE lo anterior, salga del bloc de notas y luego utilice el Explorador de Windows para borrar el siguiente archivo:

C:\Windows\System.ini

4. Si se tiene activa la herramienta "Restaurar sistema" en Windows Me y XP, el archivo puede ser recuperado de un punto de restauración anterior (Programas, Accesorios, Herramientas del sistema, Restaurar sistema). En caso contrario intente recuperarlo desde un respaldo anterior, o en último caso, cópielo de otra computadora con el mismo sistema operativo (podría ocasionar algún error, pero igual inténtelo).

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
8/nov/02 - Alias: W32.Poscal.Worm
8/nov/02 - Se agrega información a la descripción



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com