Asunto: Bush is a criminal!
Texto: Bush is a criminal!!!! See this screensaver!! HE IS A BASTARD!!!
Datos adjuntos: Bush_you_are_guilty!!!.scr

Cuando el usuario ejecuta el supuesto salvador de pantallas, el virus realiza las siguientes acciones:

Primero, se copia a si mismo en las siguientes ubicaciones y con los siguientes nombres:

C:\Bush_you_are_guilty!!!.SCR
C:\$$-%1@.EXE
C:\MerKaVa.VBS

Los atributos de estos archivos son puestos como ocultos (+H) y sistema (+S).

También se copia como "Bush_you_are_guilty!!!.scr" y "MerKaVa.VBS" en cualquier disquete presente en la unidad A:. MerKaVa.VBS contiene las instrucciones para propagar copias del gusano.

También crea el archivo Merkava.EXE en el directorio Windows:

C:\Windows\Merkava.EXE

Luego, busca todos los archivos .EXE y .SCR y borra sus extensiones, copiándose a si mismo con el nombre original.

Por ejemplo, el archivo CFGWIZ32.EXE lo renombra como CFGWIZ32 (sin extensión), copiándose luego a si mismo como CFGWIZ32.EXE.

El mismo procedimiento lo reitera en la carpeta Windows\System.

Esta acción lo convierte en un virus "de compañía" (companion). Se les llama virus de compañía, a aquellos que no infectan directamente a otro archivo, sino que toman su nombre, se ejecutan primero, y luego le pasan el control al archivo original, o sea "acompañan" al archivo que será su víctima, sin infectarlo directamente (más allá de renombrarlo).

Modifica luego el registro de Windows, para ejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = C:\MerKaVa.VBS

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = C:\$$-%1@.EXE

Finalmente, el gusano despliega los siguientes mensajes:

W32/Trilisa.d by ZoneDoomed
YOU ARE DOOMED NOW
[    Aceptar    ]


W32/Trilisa.d by ZoneDoomed
YOU LITTLE PC ARE TRASH NOW
[    Aceptar    ]


W32/Trilisa.d by ZoneDoomed
YOU ARE A LITTLE BITCH IN MY HANDS
[    Aceptar    ]


W32/Trilisa.d by ZoneDoomed
YOU ARE DOOMED
[    Aceptar    ]


W32/Trilisa.d by ZoneDoomed
I AM ZONEDOOMED
[    Aceptar    ]


W32/Trilisa.d by ZoneDoomed
THE WOMEN ARE ALL BITCH!!!!!!!!!!!!!!!
[    Aceptar    ]

Luego ejecuta VBS/Trilissa.D, el script encargado de la propagación del gusano por correo electrónico, usando comandos MAPI (Messaging Application Program Interface) para enviarse en un mensaje como el visto al principio de esta descripción, a todos los contactos de la libreta de direcciones de Windows.

La ejecución del script se realiza en un bucle de la siguiente manera:

a. Espera 30 segundos antes de enviarse por correo.

b. Luego del envío, busca librerías (.DLL, .VXD) y archivos del sistema (.SYS), les borra la extensión y se copia a si mismo con el nombre original de ese archivo (igual a lo visto antes con archivos .EXE y .SCR).

c. Vuelve al punto "a" y repite el ciclo sin detenerse hasta que se apague la computadora.


Cómo limpiar el virus en forma manual

Para borrar este gusano, ejecute uno o más antivirus al día y borre todos los archivos infectados.

El procedimiento de limpieza, puede ser algo engorroso (se deben renombrar todos los archivos sin extensión a *.EXE  y posiblemente también los *.DLL y *.VXD). La opción recomendada es reinstalar los programas necesarios, incluso Windows, iniciando la computadora desde un disquete (si se reinstala sobre el Windows anterior, no se pierden ni los programas, ni las configuraciones). En este caso, ejecute primero F-PROT desde un disquete como se explica aquí:

VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete (actualizado)
http://www.vsantivirus.com/fprot-disq.htm

Para limpiar manualmente este gusano de un equipo infectado, siga este procedimiento:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER (si REGEDIT fue borrado, utilice la herramienta SFC para recuperar este archivo. Vea "Cómo Recuperar archivos con SFC en Windows 98 y Me" http://www.vsantivirus.com/faq-sfc.htm)

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en "Run" y en el panel de la derecha, borre la entrada "(Predeterminado)"

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en "RunServices" y en el panel de la derecha, borre la entrada "(Predeterminado)"

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Apague su computadora (Inicio, Apagar el sistema, Apagar el sistema).

8. Ejecute uno o más antivirus, y borre todo archivo infectado.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 651 - 19/abr/02
W32/Orkiz.A (Trilisa). El gusano de "Operación Triunfo"
http://www.vsantivirus.com/orkiz-a.htm

VSantivirus No. 672 - 10/may/02
W32/Trilisa.B. Simula ser una actualización del AVP
http://www.vsantivirus.com/trilisa-b.htm

VSantivirus No. 678 - 16/may/02
W32/Trilisa.C. Otro salvapantallas falso de Shakira
http://www.vsantivirus.com/trilisa-c.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com