Asunto: Happy National Day Singapore!
Texto: Happy Birthday To Singaporeans!!!
Datos adjuntos: NationalDay2002.bat

La extensión .BAT no es visible en una configuración por defecto de Windows.

Cuando el usuario hace doble clic sobre el adjunto o el archivo recibido a través de los canales de IRC, ejecuta al gusano, el cuál realiza las siguientes acciones:

1. Se copia a si mismo en el directorio actual (donde se ejecuta el archivo), con el siguiente nombre:

national.bat

2. Se copia a si mismo en el raíz de la unidad C, con los siguientes nombres: 

C:\NationalDay2002.bat
C:\NationalDay2002.vbs

La mayoría de estos archivos son borrados por el propio gusano luego de completar su propagación.

3. Crea los siguientes archivos en la carpeta Windows:

C:\Windows\NDP1990.vbs
C:\Windows\NDP1991.vbs
C:\Windows\NDP1992.bat
C:\Windows\NDP1993.bat
C:\Windows\NDP1994.bat
C:\Windows\NDP1995.vbs
C:\Windows\NDP1995.bat
C:\Windows\NDP1996.bat
C:\Windows\NDP1997.bat
C:\Windows\NDP1998.vbs
C:\Windows\Snici.bat

También sobrescribe todos los archivos .PIF en la carpeta C:\Windows con su propio código, y crea los siguientes archivos PIF en el raíz de C:

C:\Command.pif
C:\Pif.pif

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).

4. Modifica el archivo SYSTEM.INI de la carpeta Windows, bajo la sección [Boot]:

[Boot]
shell=explorer.exe C:\Windows\snici.bat

5. Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NDP1999 = C:\Windows\NDP1996.bat

6. También crea algunas carpetas, entre ellas:

C:\ThisIsASimpleWormBySGBoyToLetTheWholeNationCelebrateNationalDay2002
C:\Windows\³ÅÅÅÅ

Esta segunda carpeta no puede ser eliminada desde Windows.

7. Se copia en la primera carpeta mencionada antes con este nombre:

NationalDay.jpg.bat

8. Busca y crea o modifica el archivo SCRIPT.INI del programa mIRC, para ejecutar los comandos necesarios que le permiten enviarse a otros usuarios (en el archivo NATIONALDAY.JPG.BAT) a través de los canales de chat.

9. Ejecuta el archivo C:\NATIONALDAY2002.VBS para enviar el mensaje infectado a contactos obtenidos de la libreta de direcciones del Outlook y Outlook Express.

10. Intenta borrar diversas archivos de conocidos antivirus y de varias aplicaciones de Norton, entre los que se incluyen los siguientes:

C:\Progra~1\Kasper~1\Avp32.exe
C:\Progra~1\Norton~1\*.exe
C:\Progra~1\Trojan~1\Tc.exe
C:\Progra~1\Norton~1\S32integ.dll
C:\Progra~1\F-prot95\Fpwm32.dll
C:\Progra~1\Mcafee\Scan.dat
C:\Progra~1\Tbav\Tbav.dat
C:\Progra~1\Avpersonal\Antivir.vdf
C:\Tbav95\Tbscan.sig

El código del gusano contiene el siguiente texto no visible al ejecutarse:

Singapore 37th Birthday!!
Happy National Day To All Of You
This worm is done to celebrate
Singapore National Day!! By SGBoy
I love Singapore, don't you?

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en 'Buscar en:' la unidad 'C:', y de tener seleccionada la opción 'Incluir subcarpetas'

3. En 'Nombre' ingrese (o corte y pegue), lo siguiente:

National*.*; NDP199*.*; SCRIPT.INI

4. Haga clic en 'Buscar ahora' y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione Todos los archivos y carpetas

3. En 'Todo o parte del nombre' ingrese (o corte y pegue), lo siguiente:

National*.*; NDP199*.*; SCRIPT.INI

4. Verifique que en 'Buscar en:' esté seleccionado 'C:'

5. Pinche en 'Opciones avanzadas'

6. Seleccione 'Buscar en carpetas del sistema'

7. Seleccione 'Buscar en subcarpetas'

8. Haga clic en 'Buscar ahora' y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

11. Con el Explorador de Windows, borre la siguiente carpeta:

C:\ThisIsASimpleWormBySGBoyToLetTheWholeNationCelebrateationalDay2002

Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

NDP1999

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo SYSTEM.INI

1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Busque lo siguiente:

[Boot]
shell=Explorer.exe C:\Windows\snici.bat

y déjelo así:

[Boot]
shell=Explorer.exe

3. Grabe los cambios y salga del bloc de notas


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Primera publicación:
VSantivirus No. 763 - Año 6 - Sábado 10 de agosto de 2002



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com