C:\Windows\System\Winsys.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Luego ingresa este camino en dos entradas del registro, ambas usadas para autoejecutarse en cada reinicio de la computadora:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Configuration Loader = C:\Windows\System\Winsys.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader = C:\Windows\System\Winsys.exe

El gusano se copia también en las siguientes carpetas:

C:\Archivos de programa\kaZaa lite\my shared folder\
C:\Archivos de programa\KaZaa\my shared folder\
C:\My Downloads\

Y utiliza los siguientes nombres de archivos:

100 free essays school.pif
age of empires 2 cheats.exe
age of empires 2 crack.exe
age of empires 2 help.exe
age of empires 2 keygen.exe
age of empires 2 serial.pif
age of empires 2 serials.pif
age of empires 2.exe
aim cracker.exe
aim password cracker
anarchist cookbook.pif
aol cracker.exe
aol password cracker.exe
divx pro.exe
driver.exe
fireworks crack.exe
fireworks serial.pif
fireworks.exe
fuck.exe
GTA 3 Crack.exe
GTA 3 Serial.exe
gta3.exe
hondra screen saver.scr
HotGirls.exe
hotmail hack.exe
how to hack.exe
how to use a shell.pif
NBA 2003 Crack.exe
NBA 2003 serials.epif
NBA 2003.exe
pamela anderson screen saver.scr
play station emulator crack.exe
play station emulator.exe
porn screen saver.scr
steal usernames.exe
super mario bros.exe
super mario brothers.exe
supra screen saver.scr
ut 2k3.exe
ut 2k3.pif
virtua girl - adriana.pif
virtua girl - ALL.pif
virtua girl - bailey short skirt.pif
virtua girl - bunny.pif
virtua girl - business woman.pif
virtua girl - chole.pif
virtua girl - completely nude.pif
virtua girl - courtney.pif
virtua girl - hells angels.pif
virtua girl - jammie williams.pif
virtua girl - jenn.pif
virtua girl - judith.pif
virtua girl - mandy.pif
virtua girl - melina black pepper.pif
virtua girl - nikki taylor.pif
virtua girl - nikki.pif
virtua girl - Rebecca.pif
virtua girl - tennis girl.pif
virtua girl - vera.pif
virtua girl - victoria.pif
virtua girl - wet and wild.pif
Virtua Girl (Full).exe
Virtua Sex.exe
virtual girl - adriana.pif
virtual girl - ALL.pif
virtual girl - bailey short skirt.pif
virtual girl - bunny.pif
virtual girl - business woman.pif
virtual girl - chole.pif
virtual girl - completely nude.pif
virtual girl - courtney.pif
virtual girl - hells angels.pif
virtual girl - jammie williams.pif
virtual girl - jenn.pif
virtual girl - judith.pif
virtual girl - mandy.pif
virtual girl - melina black pepper.pif
virtual girl - nikki taylor.pif
virtual girl - nikki.pif
virtual girl - Rebecca.pif
virtual girl - tennis girl.pif
virtual girl - vera.pif
virtual girl - victoria.pif
virtual girl - wet and wild.pif
warcraft 3 crack.exe
warcraft 3 serials.pif
winxp.iso.pif
worldbook.exe

El gusano, al igual que la versión "A" puede propagarse a través del IRC, utilizando el popular programa cliente mIRC. También utiliza el IRC para la conexión del troyano incluido con el atacante.

El virus sobrescribe el archivo SCRIPT.INI en la carpeta "C:\mIRC" o "C:\Archivos de programa\mIRC", si estas existen, con el código necesario para enviarse a todos los participantes de un canal de chat, incluyendo su troyano de acceso remoto.

El troyano puede realizar algunas de estas acciones:

• Abrir o cerrar la bandeja del CD
• Controlar el cursor del ratón
• Crear clones en los canales de chat (copia del usuario en el mismo canal de IRC)
• Ejecutar ataques de denegación de servicio a direcciones predeterminadas
• Enviar información del sistema infectado al atacante
• Formatear el disco duro
• Mostrar u ocultar la barra de tareas
• Reiniciar la computadora
• Robar contraseñas, o cambiarlas por otras

El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Configuration Loader

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

Configuration Loader

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com