C:\Windows\System\by_catfish

En esa carpeta, genera casi 100 archivos, todos copias exactas de si mismo, con esta estructura:

SaveXX.YYY.vbs

Donde las "XX" representa un número que se incrementa de 1 a 99, e "YYY" puede ser una de estas extensiones:

.EXE
.COM
.BMP
.HTM
.XLS
.BAT
.TIF

Ejemplos:

Save10.EXE.vbs
Save58.HTM.vbs

Todos los archivos son .VBS, usándose el truco de la doble extensión.

También se liberan los siguientes archivos (para definir su ubicación, el gusano utiliza las variables del sistema %WINDIR% y %SYSTEMDIR% las que mostramos en el ejemplo con su valor típico por omisión "C:\Windows" y "C:\Windows\System" respectivamente):

C:\Windows\RUNW32.EXE
C:\Windows\New_Game.exe
C:\Windows\System\MSVA.EXE

Los tres es un mismo troyano, comprimido con la utilidad UPX

C:\Windows\System\by_catfish\Readme_now.vbs

Readme_now.vbs es el archivo recibido como adjunto en el mensaje ya visto

C:\Windows\System\by_catfish\Info.txt

Info.txt es un archivo de registro (log), creado por el troyano.

C:\Windows\Start Menu\Programs\StartUp\VARegistered.htm

Este último (solo se crea en un Windows cuya versión esté en inglés), simula ser un formulario de registro on-line de un supuesto antivirus de Microsoft (pero Microsoft no fabrica antivirus).

Si el usuario llena el formulario y lo envía, toda la información en él es enviada a la dirección petik@multimania.com

El gusano modifica la siguiente entrada del registro para ejecutarse en cada reinicio de Windows, y aunque no posee rutina alguna para permanecer residente en memoria, si puede mantenerse en el tope de la misma:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MS Systeem32 = "wscript C:\WINDOWS\SYSTEM\Systeem32.vbs"

El archivo creado en la carpeta de inicio de Windows, C:\Windows\Start Menu\Programs\StartUp\VARegistered.htm, se autoejecutará en cada reinicio (solo en las versiones en inglés de Windows).

También se modifica el archivo WIN.INI para ejecutarse en el reinicio:

[windows]
run=C:\WINDOWS\RUNW32.EXE

Los mensajes que el gusano reenvía, tienen (como el ya visto que ingresó el virus en nuestro sistema), este formato:

BCC:avsubmit@symantec.com; virus_research@nai.com;
newvirus@avp.ru; samples@f-secure.com;
virus@pandasoftware.com; virus_doctor@trendmicro.com;
jolene1984@mailcity.com

Asunto: Important Message for [nombre del destinatario]

Texto: Look at this. It's very important.

Adjunto: Readme_now.vbs

El [nombre del destinatario] es obtenido usando las instrucciones MAPI, desde la libreta de direcciones de la víctima infectada.

Forma manual de eliminar el gusano

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Borre con REGEDIT (Inicio, Ejecutar, escriba Regedit y pulse Enter), la clave "MS Systeem32" de la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run

3. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. Si existe esta entrada bajo la sección [windows], bórrela.

[windows]
run=C:\WINDOWS\RUNW32.EXE

Debe quedar como:

[Windows]
run=

4. Grabe los cambios y salga del bloc de notas.

5. Busque y borre los archivos C:\Windows\RUNW32.EXE, C:\Windows\New_Game.exe y C:\Windows\System\MSVA.EXE

6. Borre la carpeta "by_catfish" y su contenido.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

El virus utiliza el truco de la doble extensión para disimular la verdadera. Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

• En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
• En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
• En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Más información:

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com