C:\Windows\System\KERNEL.DLL

También se copia en la siguiente ubicación:

C:\Windows\System\KERNEL32.DLL

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

WSSCRIPT es el host de secuencias de comandos de Windows, usado para la ejecución de código como el .VBS.

Si la carpeta infectada es Windows\System, el archivo de Windows, KERNEL32.DLL, es sobrescrito.

El archivo KERNEL32.DLL original es un archivo crítico del sistema que Windows carga al comienzo.

Si en cambio la carpeta infectada es Windows\System32 o \WinNT\System32 (Windows NT/2000 y XP), el gusano se copia como KERNEL32.DLL en otra carpeta del sistema, sin borrar el original.

El gusano agrega las siguientes entradas en el registro para ejecutarse al iniciarse Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kernel32 = C:\Windows\System\KERNEL.DLL

También modifica el registro para asociar la extensión .DLL a archivos ejecutables (como .EXE,. .COM), de modo que también se puedan ejecutar.

HKEY_CLASSES_ROOT\dllfile\Shell\Open\Command
(Predeterminado) = C:\Windows\WScript.exe "%1" %*

Además, crea las siguientes entradas:

HKEY_CLASSES_ROOT\dllfile\ScriptEngine
(Predeterminado) = VBScript

HKEY_CLASSES_ROOT\dllfile\ShellEx\PropertySheetHandlers\WSHProps
(Predeterminado) = {60254CA5-953B-11CF-8C96-00AA00B8708C}

HKEY_CLASSES_ROOT\dllfile\ScriptHostEncode
(Predeterminado) = {85131631-480C-11D2-B1F9-00C04F86C324}

El gusano busca archivos en todas las carpetas y subdirectorios, archivos con las siguientes extensiones:

.VBS
.HTML
.TM
.ASP
.PHP
.JSP
.HTT

Se agrega al comienzo de los archivos infectados, con su código encriptado. Es capaz de configurar por defecto diseños de fondo infectados (.HTM) para Microsoft Outlook y Outlook Express.

Borra el siguiente archivo:

Program Files\Common Files\Microsoft Shared\Stationery\blank.htm

Crea un archivo provisorio y luego lo sobrescribe como BLANK.HTM, al que entonces infecta.

También configura al Outlook Express para usar el diseño de fondo infectado al enviar mensajes.

El gusano crea allí el siguiente archivo:

C:\Windows\Web folder\FOLDER.HTT

Libera un archivo DESKTOP.INI en la carpeta Windows\System32

Cuando el contenido Web es habilitado, los archivos FOLDER.HTT y DESKTOP.INI son copiados a cada carpeta abierta en el Explorer, en donde se ejecuta el gusano.


Reparación manual

Deshabilitar el contenido Web

Deshabilite el contenido Web para prevenir que este tipo de gusano se propague en el futuro.

1. Botón derecho sobre una parte vacía del escritorio de Windows.

2. Propiedades

3. En Propiedades de pantalla seleccione la lengüeta "Web".

4. Si está tildada, destildar la opción "Mostrar contenido Web en Active Desktop.


Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Cómo recuperar KERNEL32.DLL

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

KERNEL32.DLL

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

KERNEL32.DLL

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Kernel32

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\dllfile

5. Pinche en la carpeta "dllfile" y en el mismo panel borre las siguientes carpetas:

\ScriptEngine
\Shell
\ShellEx
\ScriptHostEncode

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com