Asunto: Fw: (alguna de las siguientes expresiones y sus combinaciones):

Are you looking for Love
Best Friends
Bullshit
charming
Check ur friends Circle
Cool
Dont wait for long time
Easy Way to revel ur love
Enjoy friendship
Enjoy Romantic life
excite
Find a good friend
for you
Free Screen saver
Friendship
Friendship
Friendship Screen saver
Funny
Great
how are you
How sweet this Screen saver
humour
I am For u
Idiot
Interesting
Interesting
Joke
Learn How To Love
Life for enjoyment
Looking for Friendship
Love
love speaks from the heart
LoveGangs
make ur friend happy
Need a friend?
Nice
Nothink to worryy
One Hackers Love
One Way to Love
Origin of Friendship
powful, relations
Romantic
's Dance and forget pains
's Laugh
Say 'I Like You' To ur friend
Screensaver
searching for true Love
Send This to everybody u like
Shake it baby
Shake ur friends
Shaking
stuff
The world of Friendship
The world of lovers
to check
to enjoy
to see
to share
to ur friends
to ur lovers
to watch
True Love
U r the person?
U realy Want this
Ur My Best Friend
war Againest Loneliness
Who is ur Best Friend
Wonderfool
Wowwwwwwwwwww check it
you care ur friend

Texto del mensaje:

Hi Dear
Check the Attachement ..
See u
Sender's name 

----- Original Message -----
From: "Friendship" < friendshipscr@screensaverforu.com >
To: < Sender's email address>
Sent: Friday, May 11, 2002 8:38 PM
Subject: humour iendship to ur friends


This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.
***********************************************************

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from www.screensaverforu.com to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.

* To remove yourself from this mailing list, point your browser to: 

http://screensaverforu.com/remove?freescreensaver 

* Enter your email address (Sender's address) in the field provided and click "Unsubscribe". 

OR... 

* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address Recipient's address X-PMG-Recipient: Recipient's address
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>> 

Datos adjuntos: (un archivo con alguna de las siguientes combinaciones armadas al azar, junto a sus extensiones, por ejemplo: "biodata.mp3"):

.doc
.mp3
.xls
.wav
.txt
.jpg
.gif
.dat
.bmp
.htm
.mpg
.mdb
.zip
.pif
.bat
.scr
biodata
bullshitscr
checkfriends
dilyreport
enjoylove
freescreensaver
friends
friends
friends4u
friendscircle
friendscr
friendsearch
friendsgreetings
friendship
friendship4u
friendshipbird
friendshipforu
friendsworld
fucker
goldfish,
greetings,
love, love,
love4u,
lovefinder,
lovegreetings,
loveletter
lovers
lovers
loverscreensaver
loversgang
lovescr
loveshore
mountan
passion
passionup
report
resume
rishtha
screensaver
screensaver4u
screensaverforu
shakeit
shakescr
shakingfriendship
shakinglove
shareit
sharelove
truefriends
truelovers
urfriend
weeklyreport
werfriends

En algunos casos, el gusano también hace uso de la vulnerabilidad en los cabezales del protocolo MIME (Multipurpose Internet Mail Extensions).

MIME es un protocolo creado para el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje.

La vulnerabilidad "Incorrect MIME Header" es una de varias que permite la ejecución del contenido del adjunto de un mensaje, con solo leerlo (sin abrir archivo adjunto alguno).

El gusano también modifica el registro de Windows:

HKCLR\exefile\shell\open\command
(Predeterminado) = "%virus_path%" %1 %*"

Esto hace que se ejecute el virus cada vez que una aplicación .EXE es llamada por el sistema. Esto dificulta la limpieza del virus, ya que cualquier programa que se ejecute, incluido el antivirus, lanza al gusano en memoria.

La variable "%virus_path%" representa el nombre y ubicación del ejecutable del gusano una vez que se instaló en nuestro PC. En principio "%virus_path%" suele ser "c:\recycled\NOMBRE.AL.AZAR"

Un archivo de texto es grabado en el directorio de Windows, usando el mismo nombre al azar. Este archivo de texto contiene la siguiente cadena:

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

W32.YAHA-III
Author :H^H,h2h@achayans.com
Origin :India,Kerala

I like Klez,Sircam,But i hate the bullshit payloads

Is i am a good coder?? still i have dout huhh!!!

Beware Indian Hackers..Tomarrow is ours!!!

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

Un mensaje es enviado también a la ditrección 9846097736@bplmobile.com conteniendo la siguienyte información:

Asunto: Beware Indian Hackers!!!
Texto: We r the Great Indians, Enjoy My w32/yaha!!! By H^H

Cuando el virus se ejecuta por primera vez, se despliega un aparente salvador de pantallas que muestra un texto repetido, volando y en diferentes colores.

El gusano intenta además acabar con cualquiera de los siguientes procesos si estuvieran activos en memoria. Estos procesos pertenecen a conocidos antivirus, etc.:

ANTIVIR 
MCAFEE 
NORTON 
NVC95 
IOMON98 
PCCWIN98 
-PROT95 
-STOPW 
PVIEW95 
NAVWNT 
NAVRUNR 
NAVLU32 
NAVAPSVC 
NISUM 
SYMPROXYSVC 
RESCUE32 
NISSERV 
ATRACK 
IAMAPP 
LUCOMSERVER 
LUALL 
NMAIN 
NAVW32 
NAVAPW32 
WEBTRAP 
POP3TRAP 
PCCMAIN 
PCCIOMON

El virus intenta obtener direcciones de correo para enviarse, de enlaces tipo "mailto:", sacados de diferentes tipos de archivos, del libro de direcciones de Windows (.WAB), de la lista de contactos del MSN Messenger y de Yahoo Pager.

Los mensajes son enviados desde el mismo servidor SMTP de la dirección electrónica de la víctima, cuyos datos (los mismos que tiene su cuenta de correo principal), son obtenidos de la siguiente rama del registro:

HKCU\Software\Microsoft\Internet Account Manager\Accounts

Para eliminar el virus de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.). 

2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = "c:\recycled\[nombre al azar] %1 %*"

5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el cargador: (c:\recycled\[nombre al azar]) y dejar solo esto (comilla, porcentaje, número uno, comilla, espacio, porcentaje, asterisco):

(Predeterminado) = "%1" %*

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: 

Command /c Rename C:\Windows\Regedit.com Regedit.exe

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.COM, etc.).

9. Seleccione Inicio, Buscar, Archivos o carpetas

10. Teclee lo siguiente y pulse ENTER

kitkat

11. Borre \kitkat si aparece (generalmente en "C:\Windows\Temp\kitkat").

12. Ejecute uno o más antivirus actualizados.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com