W32/Avupd.ow.b@M (Britney). Llega por correo y borra archivos

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 221 - Año 5 - Miércoles 14 de febrero de 2001

Nombre: W32/Avupd.ow.b@M
Tipo: Gusano de Internet
Alias: W32/Britney.ow, PE_ILUVBRITNEY, WIN32.ILOVEBRITNEY
Fecha: 18/set/00
Tamaño: 55,808 bytes
Origen: Estados Unidos

Aunque no es un virus nuevo, ha sido reportado recientemente activo en muchos lugares.

Se trata de un gusano capaz de sobrescribir programas, además de propagarse vía Internet, utilizando técnicas MAPI a través del correo electrónico, donde llega como una supuesta utilidad gratuita ("ILoveBritney Freeware"), en un archivo llamado "Britney.exe", sobre la popular cantante Britney Spears.

Cuando se ejecuta, el virus genera las siguientes entradas en el registro:

HKLM\SOFTWARE\Britney
HKLM\SOFTWARE\Britney\Install

Además, en Windows 9x/Me, crea estas otras entradas:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices\ILoveBritney = [path de Britney.exe]

En WinNT:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
RunServices\ILoveBritney = [path de Britney.exe]

Modifica la página de inicio del Internet Explorer, por la siguiente:

http://www.britney-spears.to/site.html

Si exisre, renombra el archivo protector de pantallas SSSTARS.SCR como BRITNEY.SCR

Muestra un mensaje con el título:

ILoveBritney Freeware

Y el texto:

Please select email address to send at your friend
This program open automatically your address book.

Sobreescribe los archivos .EXE con el código del virus.

Cambia los títulos de las ventanas de diálogo por el siguiente:

Win32.ILoveBritney par ZeMacroKiller98

Al reiniciarse la PC después de la infección, todas las ventanas que se abran contendrán el título: "Win32.ILoveBritney par ZeMacoKiller98"

El siguiente mensaje aparece en diferentes colores y en varios lugares de la pantalla, cubriendo todas las ventanas que son abiertas, hasta que el usuario las vuelve a seleccionar:

If you don't think that, you think it now, Ha Ha Ha Ha !!!

El 12 de febrero, realiza las siguientes acciones extras:

Cuando cualquier programa es ejecutado, la computadora se resetea, después de mostrar este mensaje:

It's Britney Birthday!!!!
You musn't work today

Intenta borrar los archivos "C:\AUTOEXEC.BAT", "C:\CONFIG.SYS", "C:\IO.SYS", y "C:\MSDOS.SYS".

El virus intenta también enviarse via MAPI (no utiliza el Outlook ni ningún otro programa de correo).

Si no puede utilizar esta función, el virus muestra una ventana con este texto:

IloveBritney Freeware

MAPI function can't be found
Please refer help to install it

Después de mostrar este mensaje, el virus borra todos los archivos en el directorio raíz de C:\

Si ocurre un error mientras el virus utiliza las funciones MAPI, entonces borra todos los archivos en el directorio actual, incluyéndose el. Sin embargo, esta acción no remueve el virus del sistema.

El usuario recibe uno de estos mensajes dependiendo del error ocurrido:

The recipient requested has not been or could not be resolved to
a unique address list entry

One or more unspecified errors occurred

The name was not resolved

Si la hora del sistema es cualquiera entre las 8 de la mañana y las 6 de la tarde, el virus imprime sus mensajes en pantalla con una combinación de colores al azar.

Si el virus se ejecuta entre las 6.01 de la tarde y las 7.59 de la mañana, entonces despliega el siguiente mensaje, y reinicia a Windows:

You can't use your PC now!!!
It's time to stop your computer...

La infección se produce al abrir un archivo infectado, o un adjunto con el virus, el que simula ser un software gratuito.

Fuente: Network Associates, Trend Micro.