De: support@avx.com
Asunto: AVX update notification

Texto:
Hi, We would like to notify you about the newest software designed by SOFTWIN company. This program constantly monitors the net for the newest viral treats and anti-virus databases. In the case some new virus is in-the-wild, it will immediatelly ask you to download the newest version of AntiVirus eXpert 2000 (AVX). It's small, it's efficent, it's secure and powerful. No special licence is needed, it's freeware. We hope you enjoy AntiVirus eXpert and share it with your friends. 

Best regards,
AVX developement team.

Archivo adjunto: SERVICES.EXE

Traducción:
Hola, nos gustaría notificarle sobre el más reciente software diseñado por SOFTWIN company. Este programa constantemente monitorea la red por las más nuevas alertas de virus y base de datos de anti-virus. En el caso de aparecer algún nuevo virus en-lo-salvaje, inmediatamente le pedirá descargar la versión más reciente de AntiVirus eXpert 2000 (AVX). Es pequeño, es eficiente, es seguro y poderoso. Ninguna licencia especial se requiere, es freeware. Esperamos que usted disfrute de AntiVirus eXpert y lo comparte con sus amigos.

Saludos, 
El equipo de desarrollo de AVX.

Como veremos, las características del virus no son muy comunes.

El virus puede utilizar el IRC (Internet Relay Chat) y el protocolo FTP para recibir actualizaciones.

Cuando se ejecuta el archivo recibido, SERVICES.EXE, el virus realiza las siguientes acciones:

Examina la presencia de cualquier software "anti-debugging" (usados para examinar el código de los ejecutables). Si encuentra alguno, el programa congela a la computadora, al mismo tiempo que despliega un mensaje de error.

Genera el archivo SERVICES.EXE en la carpeta C:\WINDOWS.

En Windows 9x y Me, la siguiente clave del registro es creada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
XTCUpdate=C:\WINDOWS\SERVICES.EXE

Esto hará que el gusano se ejecute en cada reinicio de Windows.

Este gusano utiliza una técnica nueva para seleccionar las direcciones a las cuáles enviarse, y además puede ser controlado en forma remota a través de Internet.

A diferencia de gusanos anteriores, no utiliza la libreta de direcciones, ni las carpetas de mensajes para sacar su "lista de envío".

Además, como vimos, puede conectarse a un canal de IRC y actualizarse en forma silenciosa, al mismo tiempo que a través de él, el operador de ese canal puede llevar a cabo varios acciones en la computadora de la víctima.

Las acciones que puede llevar a cabo el virus son:

1. Envío masivo de si mismo a direcciones de correo encontradas en todos los archivos HTML contenidos en la carpeta de archivos temporales de Internet.

2. Propagarse a través de los recursos compartidos en una red local.

3. Alteración de la página de inicio del Internet Explorer por la de http://www.therainforestsite.com y también la de búsqueda.

4. Conectarse a un servidor de IRC y unirse silenciosamente al canal donde el operador del mismo podrá tomar el control de la computadora "víctima", y realizar las siguientes tareas:

• Iniciar un ataque de Denegación de Servicio (DoS).
• Enviar el gusano a una dirección de correo especificada.
• Desinstalar al gusano.
• Descargar archivos y programas, y ejecutarlos.
• Ejecutar comandos de IRC.
• Cambiar la página de inicio del Internet Explorer.
• Obtener el nombre de la computadora de la víctima.
• Crear y borrar archivos y directorios.
• Ejecutar programas.

Para removerlo de su computadora, elimine la clave mencionada del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
XTCUpdate=C:\WINDOWS\SERVICES.EXE

Borre luego el archivo SERVICES.EXE en C:\Windows

Note que la característica de actualización, podría implementar nuevas características a este virus, por lo que siempre recomendamos practicar lo aconsejado en nuestras "Pautas generales para mantenerse alejado de los virus".

Fuentes: McAfee, Central Command, AVP, Sophos