[nombre del archivo del virus]
is not a valid win32 application
[    OK    ]

Cuando se pulsa en el botón [OK], el gusano se envía a si mismo a toda la libreta de direcciones de Windows. El nombre del adjunto es seleccionado de la siguiente lista de nombres:

EmailFix.exe
EmailGen.exe
EmailHacker.exe
Hilarious.scr
Mp3Connect.exe
PswdCrack.exe

Los mensajes son seleccionados de las siguientes opciones:

Ejemplo 1:

Asunto: Important Notice
Datos adjuntos: emailfix.exe

Texto del mensaje:
Hello readers,
A few days ago the Microsoft Network Email System
automatically deleted my email account. This happened
because there is a bug in the Microsoft Network Email
System that may unintentionally remove email accounts
Attachments
without prompting. I have included a patch with this
email that will fix the bug on un-patched computers.
If you need help installing this file, read attached
help file.
Thanks.

Ejemplo 2:

Asunto: Mp3 sites
Datos adjuntos: mp3connect.exe

Texto del mensaje:
Hello,
Try this new software that can download practically any
.mp3 file that is found on the internet. I use this
program all the time and I think it’s great!
Have fun!

Ejemplo 3:

Asunto: A ScreenSaver
Datos adjuntos: hilarious.scr

Texto del mensaje: 
Hello everyone,
I found a really funny ScreenSaver on the net yesterday
and I think that you would find it funny like I did :)
It’s in the attachments.
Cya!

Ejemplo 4:

Asunto: Email spoofer
Datos adjuntos: emailgen.exe

Texto del mensaje:
Hello all,
Take a look at this email spoofer that I have included
in the attachments. An email spoofer is a program that
lets you email from anyone@anything.com! it’s really fun
to use for pranks :)
Have fun!

Ejemplo 5:

Asunto: Password Cracker
Datos adjuntos: pswdcrack.exe

Texto del mensaje: 
Hello Everyone,
I have a cool Password Cracker for you in the attachments :)
this Password Cracker can crack almost any password out there!
Try it for yorself!
Cya!

Ejemplo 6:

Asunto: Hotmail passwords
Datos adjuntos: emailhacker.exe

Texto del mensaje:
Hello Readers,
Have you tried to crack a Hotmail password ... and failed?
Try the ‘Hotmail Password Cracker’ program that I have
included in the attachments.
Happy hacking!

El gusano también intenta propagarse a través de las redes de intercambio de archivos (KaZaa, etc.), copiándose en las carpetas seleccionadas por defecto por éstas para compartir archivos.

Las aplicaciones utilizadas por el gusano para propagarse son las siguientes:

BearShare
Edonkey2000
Gnucleus
Grokster
ICQ
Kazaa
Kazaa Lite
LimeWire
Morpheus
Shareaza

El gusano busca los directorios compartidos de estas utilidades, y borra los archivos que encuentre allí, copiándose él mismo con el nombre de los archivos borrados, pero con extensión .EXE (un archivo PELICULA.AVI, quedaría como PELICULA.EXE, y con el código del gusano).

Para propagarse a través de las redes de IRC (Internet Relay Chat), el gusano se vale de los clientes mIRC, pIRCh y vIRC. Para ello, los busca en los siguientes directorios:

C:\Mirc
C:\Mirc32
C:\Program Files\Mirc
C:\Programme\Mirc
C:\Programmi\Mirc
C:\Program Files\Mirc32
C:\Programme\Mirc32
C:\Programmi\Mirc32
C:\Pirch
C:\Pirch32
C:\Program Files\Pirch
C:\Programme\Pirch
C:\Programmi\Pirch
C:\Program Files\Pirch32
C:\Programme\Pirch32
C:\Programmi\Pirch32
C:\Virc
C:\Program Files\Virc
C:\Programme\Virc
C:\Programmi\Virc

Si los encuentra, sobrescribe los archivos SCRIPT.INI y EVENTS.INI para modificarlos a los efectos de proceder a enviarse a otros usuarios conectados a los mismos canales visitados por la víctima de la computadora infectada. El archivo enviado es el gusano con el nombre de NOTICE.TNG.

El gusano crea numerosas copias de si mismo en el directorio Windows, usando los siguientes nombres:

c:\windows\keymapp32.exe
c:\windows\msdnssrv.exe
c:\windows\msnetwrk32.exe
c:\windows\msostart32.exe
c:\windows\msregmc32.exe
c:\windows\msscndsk.exe
c:\windows\mwintype.exe
c:\windows\notice.tng
c:\windows\pswdcrack.exe
c:\windows\unicode32.scr
c:\windows\windns32.exe
c:\windows\wncnet32.exe
c:\windows\wnetcon32.exe

También se copia en el directorio System con los siguientes nombres:

c:\windows\system\e-inst32.scr
c:\windows\system\etwc32.exe
c:\windows\system\incmndr.exe
c:\windows\system\inlnkmgr.exe
c:\windows\system\mdinst32.exe
c:\windows\system\mserv32.exe
c:\windows\system\nitxt32.exe
c:\windows\system\omserv32.exe
c:\windows\system\ostng32.pif
c:\windows\system\re-inst32.scr
c:\windows\system\scabdrv.exe
c:\windows\system\stng32.exe
c:\windows\system\swpdmgr.exe
c:\windows\system\unitxt32.exe
c:\windows\system\wincmndr.exe
c:\windows\system\winlnkmgr.exe

El gusano también modifica el registro para ejecutarse automáticamente cada vez que Windows se reinicia:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Mstng32 = C:\windows\system\Mstng32.exe

Además, agrega la siguiente entrada:

HKEY_LOCAL_MACHINE\Software\Zed/[rRlf]

Una vez activo, el gusano examina los siguientes directorios:

\Kazaa\My Shared Folder
\My Documents\My Music
\My Downloads
\My Music
\Program Files\BearShare\Shared
\Program Files\Edonkey2000\Incoming
\Program Files\Gnucleus\Downloads
\Program Files\Gnucleus\Downloads\Incoming
\Program Files\Grokster\My Grokster
\Program Files\ICQ\Shared Files
\Program Files\Kazaa Lite\My Shared Folder
\Program Files\Kazaa\My Shared Folder
\Program Files\LimeWire\Shared
\Program Files\Morpheus\My Shared Folder
\Program Files\Shareaza\Downloads
\Programme\BearShare\Shared
\Programme\Edonkey2000\Incoming
\Programme\Gnucleus\Downloads
\Programme\Gnucleus\Downloads\Incoming
\Programme\Grokster\My Grokster
\Programme\ICQ\Shared Files
\Programme\Kazaa Lite\My Shared Folder
\Programme\Kazaa\My Shared Folder
\Programme\LimeWire\Shared
\Programme\Morpheus\My Shared Folder
\Programme\Shareaza\Downloads
\Programmi\BearShare\Shared
\Programmi\Edonkey2000\Incoming
\Programmi\Gnucleus\Downloads
\Programmi\Gnucleus\Downloads\Incoming
\Programmi\Grokster\My Grokster
\Programmi\ICQ\Shared Files
\Programmi\Kazaa Lite\My Shared Folder
\Programmi\Kazaa\My Shared Folder
\Programmi\LimeWire\Shared
\Programmi\Shareaza\Downloads

En ellos busca archivos con las siguientes extensiones:

.AVI
.BAT
.BMP
.DIB
.GIF
.JPE
.JPEG
.JPG
.LNK
.MDB
.MOV
.MP2
.MP3
.MPE
.MPEG
.MPG
.PIF
.PNG
.PPS
.PPT
.SCR
.TIF
.TIFF
.TMP
.TXT

Todo archivo encontrado con esas extensiones es borrado, suplantado con el mismo nombre por el propio gusano, pero con la extensión .EXE. Por ejemplo, un archivo IMAGEN.PNG es borrado, y se crea un archivo IMAGEN.EXE que es el propio gusano.

También actúa como virus de macro, pudiendo infectar documentos y plantillas de Office que sean abiertos cuando el virus está en memoria. Para ello, deshabilita la protección antivirus, infecta la plantilla global de Word NORMAL.DOT.

También crea un libro infectado de Excel con una macro infectada e infecta documentos de Access.

Luego, todos los documentos de Office que sean abiertos resultarán infectados.

El virus de macros puede ser detectado como W97M/Kins por algunos antivirus (Panda).


Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\keymapp32.exe
c:\windows\msdnssrv.exe
c:\windows\msnetwrk32.exe
c:\windows\msostart32.exe
c:\windows\msregmc32.exe
c:\windows\msscndsk.exe
c:\windows\mwintype.exe
c:\windows\notice.tng
c:\windows\pswdcrack.exe
c:\windows\unicode32.scr
c:\windows\windns32.exe
c:\windows\wncnet32.exe
c:\windows\wnetcon32.exe
c:\windows\system\e-inst32.scr
c:\windows\system\etwc32.exe
c:\windows\system\incmndr.exe
c:\windows\system\inlnkmgr.exe
c:\windows\system\mdinst32.exe
c:\windows\system\mserv32.exe
c:\windows\system\nitxt32.exe
c:\windows\system\omserv32.exe
c:\windows\system\ostng32.pif
c:\windows\system\re-inst32.scr
c:\windows\system\scabdrv.exe
c:\windows\system\stng32.exe
c:\windows\system\swpdmgr.exe
c:\windows\system\unitxt32.exe
c:\windows\system\wincmndr.exe
c:\windows\system\winlnkmgr.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Mstng32

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Zed/[rRlf]

5. Pinche en la carpeta "Zed/[rRlf]" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


Como limpiar documentos de Word infectados

Ejecute uno o más antivirus actualizados con las últimas definiciones. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm


Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Macro, Seguridad, y cambie el nivel a Alto.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com