FWD: Protect your computer for free!!

En caso de ocurrir una infección, el gusano se copia a si mismo en un archivo que marca con los atributos de oculto (+H):

C:\io.vbs

Luego, modifica la siguiente rama del registro de Windows, a los efectos de ejecutarse automáticamente en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MircProtection = c:\Io.vbs

Si el archivo IO.VBS ya existiera, el gusano genera un archivo de nombre SYSTEM, sin extensión, en la carpeta \Windows\System o \Winnt\System32:

C:\Windows\System\SYSTEM
C:\Winnt\System32\SYSTEM

Este archivo contiene comandos del MIRC.INI.

Luego, el gusano examina todas las unidades de disco en busca de un archivo MIRC.INI. Si lo encuentra, agrega allí el comando INCLUDE, el cuál apunta al archivo SYSTEM creado antes.

En este momento, el gusano envía su mensaje a todos los contactos de la libreta del Outlook. Utiliza el campo CCO (copia oculta) para incluir los destinatarios, de modo que estos no aparezcan en el cuerpo del mensaje.

El mensaje tiene estas características:

Asunto: FWD: Protect your computer for free!!

Texto:
Still surfing the web unprotected? Hackers could be watching your every move. Your files could be infected, unless you're protected. Get it fast and FREE. Simple to use and downloads in seconds.
-=-=-=-=-=-=-=-=-=-
<Incluye aquí la dirección del creador del virus, la cuál ya ha sido dada de baja>.

Finalmente, el gusano crea también la siguiente clave en el registro:

HKEY_LOCAL_MACHINE\MircProctection

Pone a esta entrada el valor de 1, como indicador de que ya ha enviado su mensaje, de modo que esta acción no la volverá a repetir.


Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

MircProtection c:\Io.vbs

4. Pinche sobre el nombre "MircProtection" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

No es necesario borrar la entrada HKEY_LOCAL_MACHINE\MircProctection, ya que además puede actuar de protección, para que el gusano no se propague en el caso de ocurrir una nueva infección.

Si el usuario tiene el mIRC instalado, el virus pudo haber modificado algunas de sus configuraciones, por lo que se sugiere examinar el archivo MIRC.INI y borrar cualquier referencia a este archivo:

C:\Windows\System\SYSTEM

o

C:\Winnt\System32\SYSTEM

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

VSantivirus No. 395 - 7/ago/01
Los virus y el IRC (por Ignacio M. Sbampato)


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy