Asunto: Antivirus Update
Archivo adjunto: AVUpdate.exe (7 Kb)

Cuando el gusano es ejecutado por el usuario (haciendo doble clic sobre el adjunto), el mismo creará una entrada en el registro, la que usará para confirmar su ejecución en el sistema, para no volver a enviarse por e-mail o a través de los canales de chat más de una vez.

Luego, se copia de si mismo en la carpeta de Windows:

C:\WINDOWS\AVUpdate.exe

Esta copia de su código es la que intentará enviar a todos los contactos de la libreta de direcciones del Outlook. El gusano hace esto creando un archivo en Visual Basic Script, el cuál copia en el directorio raíz del disco C, para luego ejecutarlo:

C:\Send.vbs

También genera y copia en el sistema, un archivo SCRIPT.INI, el que usará para que el popular programa de chat, mIRC, pueda propagar el código del virus (el archivo AVUpdate.exe) a todos los usuarios que compartan los mismos canales de IRC (1). El gusano solo infectará al mIRC, si este programa está instalado en alguna de estas ubicaciones:

C:\Mirc 
C:\Mirc32 
C:\Program Files\Mirc 
C:\Program Files\Mirc32

Por último, el gusano intentará deshabilitar el Norton Antivirus. Esto funcionará solo en Windows 95/98, y únicamente con algunas versiones de este producto.

Para quitarlo de un sistema infectado, se deberá ejecutar un antivirus actualizado, y borrar los archivos identificados como W32/Update.Worm o similar.

Si se posee Norton como antivirus, se recomienda reconfigurar las opciones por defecto, reinstalar el producto, o utilizar un segundo antivirus (también actualizado) para escanear el sistema. Una opción gratuita es el F-Prot, que puede bajar de nuestro sitio.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutar su rutina de propagación. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" (2) para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Glosario:

(1) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

(2) DCC (Direct Client to Client) - Los archivos enviados entre usuarios participantes de un canal de chat (IRC) se transmiten por medio de una sesión denominada DCC (Direct Client to Client), que permite la transferencia directa de los mismos.

Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy