Asunto: WARNING : Black_Piranha
Adjunto: MSsecu.exe (633,344 bytes)

El W32/Whitebait consiste en dos partes: el programa host que lo contiene y el propio gusano.

El programa host se ha estado propagando en los canales de IRC como un programa capaz de reproducir imágenes pornográficas.

Cuando se ejecuta, él se copia en C:\Windows\MSsecu.exe y despliega las imágenes. Pero también libera al gusano en C:\Windows\WinSystem.exe y lo ejecuta.

Cuando el gusano es ejecutado, el mismo realiza las siguientes acciones:

Se agrega al registro, para autoejecutarse luego en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinSystem = C:\Windows\WinSystem.exe

Busca en todos los archivos .HTM, .HTML, .PHP, .ASP, y README.TXT de la computadora, direcciones de correo que usará para replicarse. Las direcciones encontradas se guardan en un archivo de texto (pero con nombre de ejecutable) en C:\Windows\Bdm.com.

Luego, el gusano usará su propia máquina SMTP para enviarse a todas las direcciones que ha encontrado.

El mensaje enviado tiene las siguientes características:

Asunto: WARNING : Black_Piranha
Texto: 
Si vous pouvez lire cet e-mail, c'est que les services
Microsoft on détecter la présence du virus Black_Piranha
dans votre système Windows. pour désinfecter votre système
vous n'avez qu'a exécuter le programme en piece jointe.
Pour plus d'informations : http:/ /www.microsoft.com
Attachment: MSsecu.exe (This is the host application;
it is 618 KB in size)
From: security@microsoft.com

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos detectados como W32.HLLP/Gosusub o similar por su antivirus.

- En Windows 95, 98 y Me

Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee lo siguiente y pulse ENTER

MSSECU.EXE, WINSYSTEM.EXE

3. Borre MSSECU.EXE y WINSYSTEM.EXE si aparecen

Salte al punto "Para modificar los cambios en el registro"

- En Windows NT, 2000 y XP:

1. Pulse CTRL+ALT+SUPR
2. Seleccione Manejador de tareas
3. Seleccione Procesos
4. Pinche en el cabezal de la columna Nombre de la imagen, dos veces, para ordenar alfabéticamente la lista.
5. Busque en la lista "Procmon.exe". Si lo encuentra, márquelo, y seleccione Finalizar proceso. 
6. Cierre el Manejador de tareas
7. Ejecute de nuevo un antivirus, y borre todos los archivos detectados como W32.Whitebait@mm.
8. Luego, siga con las instrucciones para modificar el registro.

- Para modificar los cambios en el registro:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: 

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run 

3. Pinche sobre la carpeta "Run".

4. Si en la ventana de la derecha aparece el nombre "WinSystem" con los datos "C:\Windows\WinSystem.exe", pinche sobre "WinSystem" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar), y ejecute nuevamente un antivirus para revisar todo su sistema.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com