Asunto: Your free yahoo account and file!
Datos adjuntos: [variable] (11,776 bytes)

Cuerpo del mensaje:

YahooID: [nombre de usuario]
password: [contraseña]


Asunto: Yahoo Game House
Datos adjuntos: Crock.exe (11,776 bytes)

Cuerpo del mensaje:

From the makers of Yahoo Game House,
here is a new game from vAndEEd0!
The Crock Yahooligans! Out kool

En ocasiones el adjunto se llama CROCK.EXE, aunque por lo general es variable, y casi siempre .EXE, pero se muestra con el icono del Yahoo! Messenger.

El virus es capaz de acabar los procesos de varios antivirus y otros conocidos programas de seguridad y está escrito en Microsoft Visual Basic y comprimido con la herramienta UPX.

Cuando se ejecuta (doble clic), el gusano muestra una ventana con el mismo icono, solicitando el nombre de usuario de Yahoo (Yahoo ID) y su contraseña:

Connect to everything in Y!

Yahoo ID [                ]
Password [                ]
      [   OK   ] [ Cancel ]

Si se pulsa en el botón de [OK], envía el primero de los mensajes descriptos al principio con los datos ingresados por el usuario.

Si se cancela el proceso, el gusano envía el segundo mensaje.

En ambos casos, los mensajes son enviados a toda la libreta de direcciones del usuario infectado.

Luego, copia estos archivos en la carpeta de Inicio de Windows (el .EXE es una copia del propio gusano):

crock.exe
crock.scr
crock.bat

Las carpetas de inicio posibles (en este caso) son:

Windows 95, 98 y Me:

C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio

Windows XP y 2000:

C:\Documents and Settings
\All Users\Menú Inicio\Programas\Inicio

Windows NT:

C:\WinNT\Profiles
\All Users\Menú Inicio\Programas\Inicio

Agrega las siguientes entradas al registro de Windows:

HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion
System Signature

El gusano intenta finalizar cualquiera de los siguientes procesos que se estén ejecutando en la memoria de la máquina infectada:

_Avp
Ackwin32
Anti-Trojan
Apvxdwin
Avconsol
Avkserv
Avnt
Avp
AVP MONITOR
AVPMON
Avsched32
Avwin95
Avwupd32
BLACKICE
Blackice
Esafe
F-Agnt95
F-Prot
Fprot
Fp-Win
F-STOPW
F-Stopw
IOMON98
Lockdown2000
N32scanw
NAI_VS_STAT
Nav
Nisum
Nmain
Normist
Nupgrade
Nvc95
Outpost
Padmin
Pavcl
Pavsched
Pavw
Pccwin98
Pcfwallicon
Persfw
POP3TRAP
Rav
Rescue
Safeweb
Scan
Serv95
Sweep
Tbscan
Vet95
Vscan40
Vshwin32
Webscanx
Wfindv32
Zonealarm

Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"

3. En "Nombre" ingrese (o corte y pegue), lo siguiente:

crock.exe; crock.scr; crock.bat

4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione "Todos los archivos y carpetas"

3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:

crock.exe; crock.scr; crock.bat

4. Verifique que en "Buscar en:" esté seleccionado "C:"

5. Pinche en "Más opciones avanzadas"

6. Seleccione "Buscar en carpetas del sistema"

7. Seleccione "Buscar en subcarpetas"

8. Haga clic en "Busqueda" y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Microsoft
\Windows
\CurrentVersion

3. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

System Signature

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

15/jun/03 - Se actualiza descripción
15/jun/03 - Alias: Worm/Crock, Win32/Crock.A
15/jun/03 - Se cambió el nombre a W32/Crock.A



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com