Asunto: hehe, isn't that fascinating...
Datos adjuntos: bat.ina.bat

Texto del mensaje:
... I just want to say something to the attachment:
It is the first ever batch virus, that is able to
update itself via the internet! Hehe, you don't have
to execute it (if you don't want to ;), but if you
understand a bit batch, look at it, it's really
interesting!

El mensaje le informa al propio usuario que el adjunto es un virus, el primero del tipo batch capaz de actualizarse vía Internet, etc., y lo incita a examinar su código.

Si el adjunto se ejecuta, el gusano procede a borrar una lista seleccionada de nombres de archivos y carpetas pertenecientes a conocidos productos antivirus entre otros:

c:\mirc\script.ini
c:\mirc32\script.ini
c:\msg.vbs
c:\pirch98\events.ini
c:\progra~1\mirc\script.ini
c:\progra~1\mirc32\script.ini
c:\programme\avpersonal\antivir.vdf
c:\programme\f-prot95\fpwm32.dll
c:\programme\mcafee\scan.dat
c:\programme\norton~1\s32integ.dll
c:\programme\tbav\tbav.dat
c:\tbav\tbav.dat
c:\tbavw95\tbscan.sig

Además, el gusano se copia a si mismo en el disco duro con el siguiente nombre:

c:\bat.ina.bat

Crea también los siguientes archivos:

c:\updatecheck.bat
c:\msg.vbs
c:\msg.reg
c:\pirch98\events.ini
c:\mirc\script.ini
c:\mirc32\script.ini
c:\progra~1\mirc\script.ini
c:\progra~1\mirc32\script.ini
c:\windows\mail.vbs
c:\ftp.txt
c:\kazaa.reg

Los archivos "c:\ftp.txt" y "script.ini" se crean si existen los directorios anteriores.

Otro script llamado "events.ini" es creado solo si existe la siguiente carpeta perteneciente al pIRCh:

c:\pirch98\

Esos dos archivos .INI se encargan del envío del gusano a través de los clientes de IRC mIRC o pIRCh (o el que estuviera instalado).

El gusano también modifica el registro para compartir sus propias copias a través de la red de intercambio de archivos KaZaa:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing = 0
DownloadDir = C:\Program Files\KaZaA\My Shared Folder
Dir0 = 012345:c:\

De ese modo, el contenido de la carpeta raíz de C:\ es usada como carpeta compartida.

También es creado el siguiente archivo:

C:\Windows\mail.vbs

Finalmente, el gusano borra los siguientes archivos creados antes por él mismo: "c:\kazaa.reg" y "c:\ftp.txt".

Si se ejecuta el archivo "c:\msg.vbs", se muestra una ventana con el siguiente mensaje:

bat.ina
this is a tribute to one of the most important persons in my current life. (hehe, i couldn't think of another name) and it is the first ever batch virus, that is able to update itself via the internet.
[    OK    ]

El gusano modifica también el archivo WIN.INI para autoejecutarse en cada reinicio de Windows:

[windows]
load = c:\bat.ina.bat

Además, crea la siguiente entrada en el registro, con el mismo objetivo:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
msg = c:\msg.vbs

Reparación manual

Deshabilitar las entradas en el registro del KaZaa

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

3. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre la siguiente entrada:

DisableSharing = "0"

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
4. Repare los archivos detectados como infectados
5. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

c:\bat.ina.bat
c:\updatecheck.bat
c:\msg.vbs
c:\msg.reg
c:\pirch98\events.ini
c:\mirc\script.ini
c:\mirc32\script.ini
c:\progra~1\mirc\script.ini
c:\progra~1\mirc32\script.ini
c:\windows\mail.vbs
c:\ftp.txt
c:\kazaa.reg
c:\windows\mail.vbs

6. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

msg

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

11. Si existe la referencia a "c:\bat.ina.bat" en la línea "load=" bajo la sección [windows], bórrela.

Por ejemplo:

[windows]
load= c:\bat.ina.bat

Debe quedar como:

[Windows]
load=

12. Grabe los cambios y salga del bloc de notas.

13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com