C:\Windows\System\WindowsAgent.exe

También examina las unidades de discos mapeadas (o sea discos locales y de red) que contengan un sistema operativo instalado, y se copia en cada uno, oculto, en la carpeta que corresponde a la papelera de reciclaje (RECYCLED):

X:\Recycled\Notdelw.i.n.v.e.r.y.i.f.y.exe

Donde "X" representa todas las unidades de disco accesibles.

También modifica el archivo WIN.INI para poder ejecutarse automáticamente en cada reinicio de Windows, en cada computadora conectada a una red, además de la local.

Puede enviarse a todas las direcciones de correo presentes en la computadora infectada localizados en diferentes tipos de archivo.

También puede robar las contraseñas del OICQ, la versión china del popular ICQ.

El mensaje que utiliza para enviarse posee estas características:

Asunto: [cualquiera de lista en chino y en inglés]
Datos adjuntos: [varios, con doble extensión] (4,033 bytes)

Cuando se ejecuta por primera vez, el gusano se copia en esta ubicación:

C:\Windows\System\WindowsAgent.exe

También crea un archivo llamado "Drocerrbk.sys", en donde almacena las contraseñas robadas.

Luego, agrega en el registro de Windows la siguiente entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WindowsAgent = C:\Windows\System\WindowsAgent.exe

Luego de ello, ejecuta su rutina de envío masivo, con asuntos en chino en su mayoría, y otros en inglés.

El archivo adjunto puede ser un .BMP, .RTF, .DOC, .TXT, .GIF, .JPEG, o JPG. El gusano le agrega a cada uno, una segunda extensión, .EXE o .LNK.

Por ejemplo, un archivo llamado "nombre.doc", sería enviado como "nombre.doc.EXE" o "nombre.doc.LNK".

El archivo, a pesar de su nombre original, en realidad es el gusano.

El mismo que busca en todos los discos y carpetas, las direcciones de correo a las que se envía, en archivos .HTM y .HTML, además de hacerlo en archivos de bases de datos de los clientes de correo más populares.

Utiliza para el envío, su propia rutina SMTP, no dependiendo del cliente de correo instalado en la máquina infectada para autoenviarse masivamente.

El mensaje generado ejecuta el gusano con la simple lectura o visualización del mismo en el panel de vista previa, debido a la explotación de una conocida vulnerabilidad relacionada con la etiqueta IFRAME (ms01-020 Iframe exploit).

Luego de ello, busca unidades de disco que contengan un sistema operativo instalado y se copia en cada disco encontrado con el siguiente nombre y ubicación:

\Recycled\Notdelw.i.n.v.e.r.y.i.f.y.exe

También modifica el archivo WIN.INI para autoejecutarse en próximos reinicios de las computadoras en red infectadas, incluida la propia.


Reparación manual

Reitere todos estos procedimientos en cada una de las computadoras infectadas, y desconectadas de la red.

Siga estos pasos:

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\System\WindowsAgent.exe
X:\Recycled\Notdelw.i.n.v.e.r.y.i.f.y.exe

"X" representa todas las unidades de disco accesibles.

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WindowsAgent

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Editar el archivo WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[Windows]
run=C:\Recycled\Notdelw.i.n.v.e.r.y.i.f.y.exe

Debe quedar como:

[Windows]
run=

3. Grabe los cambios y salga del bloc de notas.

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm

Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com