Hello [nombre]
--
Best regards,
[nombre]                       mailto:[remitente falso]

Donde [nombre] será alguno de los siguientes:

accoun
admin
Alan
Andrew
Angel
Anna
Arnold
Bernard
Carter
certific
Conor
Chris
Christian
Ghisler
Goldberg
Green
Helen
Ivan
Jackson
John
Kramer
Kutcher
listserv
Liza
Lopez
Mackye
Maria
Miller
Nelson
ntivi
Peter
Robert
Ruben
Sarah
Scott
Smith
Steven
subscribe

Y [dominio] será alguno de los siguientes:

aol.com
freemail.com
hotmail.com
mail.com
msn.com
yahoo.com

Datos adjuntos: Playgirls_2.exe

Cuando se ejecuta, el gusano crea algunos de los siguientes archivos:

c:\windows\system32\___e
c:\windows\system32\___j.dll
c:\windows\system32\___n.exe
c:\windows\system32\___r.exe
c:\windows\system32\___synmgr.exe
c:\windows\system32\___u

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

En Windows XP y 2000, inyecta el archivo "___J.DLL" en el proceso de SVCHOST.EXE.

Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es un archivo legítimo de Windows XP, utilizado para la ejecución de servicios.

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Windows DHCP = c:\windows\system32\___r.exe 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe

El gusano intenta finalizar los procesos activos que contengan alguna de las siguientes cadena en sus nombres:

_avp32.exe
_avpcc.exe
_avpm.exe
anti-trojan.exe
antivirus.exe
atguard.exe
aupdate.exe
auto-protect.nav80try.exe
autoupdate.exe
avguard.exe
avkpop.exe
avkserv.exe
avkservice.exe
avkwctl9.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avptc32.exe
avpupd.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
click.exe
drwatson.exe
drweb32.exe
drwebupw.exe
guard.exe
guarddog.exe
jammer.exe
kavlite40eng.exe
kavpers40eng.exe
kavpf.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
killprocesssetup161.exe
nav.exe
navdx.exe
navw32.exe
navwnt.exe
nc2000.exe
netmon.exe
netutils.exe
norton_internet_secu_3.0_407.exe
nprotect.exe
outpost.exe
outpostinstall.exe
padmin.exe
processmonitor.exe
rescue32.exe
taskmg.exe
taskmgr.exe
taskmon.exe
taumon.exe
vfsetup.exe
vir-help.exe
virusmdpersonalfirewall.exe
zapro.exe
zapsetup3001.exe
zonalm2601.exe
zonealarm.exe

El gusano utiliza técnicas de herramientas de root (rootkit), para prevenir que archivos y procesos cuyos nombres comiencen con tres caracteres de subrayado ("___"), sean visibles a los usuarios. Esta acción puede ocasionar que el administrador de tareas de Windows falle al ser abierto (CTRL+ALT+SUPR).

El gusano libera un BOT de IRC (un troyano que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos), el cual es copiado como ___SYNMGR.EXE en la carpeta del sistema de Windows.

El troyano se conecta a un servidor de IRC por el puerto TCP 7000 para recibir las instrucciones de un usuario remoto.

Algunas de las acciones posibles:

- Agregar o quitar recursos compartidos
- Buscar otros sistemas vulnerables o infectados
- Capturar imagen usando la Webcam de la víctima
- Capturar la salida del teclado
- Conseguir la clave de registro de varios juegos
- Conseguir la clave de registro de Windows
- Enviar correo utilizando su propio motor SMTP
- Habilitar o deshabilitar DCOM
- Iniciar o terminar procesos
- Listar procesos activos
- Obtener contenido del portapapeles
- Obtener el contenido del caché de contraseñas
- Operaciones HTTP y FTP
- Realizar ataques de denegación de servicio (DoS)
- Realizar escaneos de paquetes
- Realizar varias operaciones en IRC
- Redireccionar puertos

El gusano examina computadoras remotas, para intentar explotar la vulnerabilidad RPC/DCOM, utilizando el puerto TCP 135.

Mientras se ejecuta, monitorea todas las ventanas del Internet Explorer que sean abiertas, y cuyos nombres contengan algunas de las siguientes cadenas:

bank
e-bullion
e-gold
evocash
mail
paypal
trade

Cuando una ventana con esas características es localizada, todas las entradas en el teclado realizadas por el usuario infectado en dichas ventanas, es capturado, almacenado, y luego enviado a un sitio web remoto.

Crea los siguientes archivos para almacenar la información capturada (estos archivos son borrados y vueltos a crear varias veces):

c:\windows\system32\AlaDdos
c:\windows\system32\Alaftp
c:\windows\system32\AlaMail
c:\windows\system32\AlaScan

El gusano busca en el disco duro, archivos cuyos nombres contengan las siguientes cadenas en su nombre y camino completo:

distr
download
setup
share

Si el archivo encontrado tiene además algunas de las siguientes extensiones:

.exe
.pif
.rar
.zip

Y si su tamaño es mayor que la copia del gusano guardada en C:\WINDOWS\SYSTEM32\___U, entonces el archivo es copiado con el camino completo (carpetas, subcarpetas), dentro de una carpeta llamada "___B" en el raíz de C:

c:\___b

Luego se copia él mismo (el archivo "C:\WINDOWS\SYSTEM32\___U"), sobre el archivo original, conservando el mismo tamaño y el mismo icono que aquellos.

Ejemplo:

El gusano encuentra el siguiente archivo:

C:\Mis documentos\Archivo.zip

Entonces copia dicho archivo, con el camino completo, en la carpeta C:\___B:

C:\___b\Mis documentos\Archivo.zip

Y sobrescribe el contenido de ARCHIVO.ZIP en C:\MIS DOCUMENTOS, con el contenido de C:\WINDOWS\SYSTEM32\___U.

El gusano busca direcciones a las que enviarse, en archivos de la máquina infectada con las siguientes extensiones:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.f
.htm
.jsp
.mbx
.mdx
.mht
.mm
.mmf
.msg
.nch
.ods
.oft
.php
.sht
.shtm
.stm
.tbb
.txt
.uin
.uin
.wab
.wsh
.xls
.xml

Evita enviar mensajes infectados a aquellas direcciones cuyos nombres contengan las siguientes cadenas:

abuse
accoun
acketst
admin
anyone
aol.com
arin.
avp
berkeley
borlan
bsd
bugs
certific
contact
example
feste
fido
foo.
freemail.com
fsf.
gnu
gold-certs
google
help
hotmail.com
iana
ibm.com
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
mail.com
math
mit.e
mozilla
msn.com
mydomai
mysqlruslis
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spam
spm
submit
subscribe
syma
tanford.e
test
the.bat
unix
usenet
utgers.ed
webmaster
www
yahoo.com
you
your

Reparación manual

IMPORTANTE:

Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos suplantados, dependerá del daño causado por el virus desde el momento de ocurrida la infección.


Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Microsoft Synchronization Manager

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

Microsoft Windows DHCP
Microsoft Synchronization Manager

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Microsoft Synchronization Manager

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Recuperación de archivos sobrescritos

1. Busque la siguiente carpeta en el directorio raíz del disco C:

c:\___b

2. Haga doble clic para abrir dicha carpeta.

3. Seleccione todos los archivos y carpetas mostrados.

4. Haga clic en el menú "Edición", "Copiar".

5. Pulse en el botón "Atrás" para mostrar el raíz de la unidad C:.

6. Haga clic en el menú "Edición", "Pegar".

7. En la ventana "Confirmar el reemplazo de carpetas", seleccione "Sí a todo".

8. Borre el contenido de la carpeta "c:\___b".

9. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Información adicional

Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.


Activar el cortafuegos de Windows XP y la conexión compartida de Windows 2000

En Windows XP SP2

1. Abra el Panel de Control, haga doble clic en el icono "Centro de Seguridad"

2. Active el cortafuego de Windows (si este se encuentra desactivado).

3. Cierra la ventana del cortafuego, cierre el Centro de Seguridad, por ultimo cierre el panel de control.


En Windows 2000 o Windows XP SP1

1. Haga clic en el botón Inicio, Ejecutar e ingrese lo siguiente:

services.msc

2. Presione el botón Aceptar.

* En Windows 2000 en la columna nombre localice el servicio "Conexión compartida a Internet (ICS)" y haga doble clic en el.


* En Windows XP en la columna nombre localice el servicio "Conexión de seguridad a Internet (ICF) / Conexión compartida a Internet (ICS)" y haga doble clic en el.

3. En la opción "Tipo de inicio" seleccione en el menú desplegable "Automático".

4. Bajo la opción "Estado del servicio" presione el botón "Iniciar".

5. Haga clic en el botón "Aceptar".

6. Reinicie el equipo.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

10/12/04 - 14:43 -0200 (Actualización descripción)
10/12/04 - 14:43 -0200 (Recuperación manual de archivos)
10/12/04 - 14:49 -0200 (Alias: W32/Maslan.B.worm)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com