Automatic Email Delivery Software
Bounced mail
Mail Administrator
Mail Delivery Subsystem
MAILER-DAEMON
noreplypostmaster
Post Office
Postmaster
Returned mail
The Post Office

[usuario@] es uno de los siguientes:

noreply@
MAILER-DAEMON@
postmaster@

Y [dominio] es el mismo dominio del destinatario del mensaje

Asunto: puede ser uno de los siguientes:

click me baby, one more time
delivery failed
Delivery reports about your e-mail
error
hello
hi
Mail System Error - Returned Mail
Message could not be delivered
report
Returned mail: Data format error
Returned mail: see transcript for details
say helo to my litl friend
status
test

Texto del mensaje:

El mensaje puede estar vacío, o contener alguno de los siguientes textos, seguido de partes de otros mensajes legítimos, obtenidos en la máquina infectada:

Ejemplo 1:

The original message was included as attachment.

Ejemplo 2:

This Message was undeliverable due to the following 
reason:

Your message was not delivered because the destination 
computer was not reachable within the allowed queue 
period. The amount of time a message is queued before 
it is returned depends on local configura-tion 
parameters.

Most likely there is a network problem that prevented 
delivery, but it is also possible that the computer is 
turned off, or does not have a mail system running
right now.

Your message was not delivered within [número al azar]
days: 

Host [dirección IP al azar] is not responding.

The following recipients did not receive this message: 
[dirección destinatario]

Please reply to postmaster@[dominio destinatario] if
you feel this message to be in error.

Ejemplo 3:

The original message was received at [fecha y hora] from
[dirección destinatario] [dirección IP]

-- The following addresses had permanent fatal errors -
[dirección destinatario]

----- Transcript of session follows -----

while talking to [dirección destinatario].:
>>> MAIL From:[dirección remitente]
<<< 501 [dirección remitente]... Refused

The original message was received at [hora y fecha]
from [dirección destinatario] [dirección IP]

---The following addresses had permanent fatal errors ---
[dirección destinatario]

Ejemplo 5:

Message could not be delivered

Datos adjuntos: [nombre]+[extensión]

Donde [nombre puede ser uno de los siguientes]:

[caracteres al azar]
attachment
document
file
letter
mail
message
postmaster
readme
text
transcript

Y [extensión] una de las siguientes:

.bat
.cmd
.com
.exe
.pif
.scr
.zip

Los adjuntos con extensión .ZIP son archivos comprimidos y contienen un archivo con nombre al azar y a veces dos extensiones separadas por una gran cantidad de espacios.

Cuando se ejecuta el gusano, se crea el siguiente archivo:

c:\windows\lsass.exe

El gusano crea las siguientes entradas en el registro, las dos primeras para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Traybar = c:\windows\lsass.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Traybar = c:\windows\lsass.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\POSIX

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\POSIX

.adb
.asp
.dbx
.doc
.ht
.htm
.html
.ph
.pl
.sht
.tbb
.tx
.txt
.wab

El gusano evita enviarse a aquellas direcciones que contengan alguno de los siguientes textos en su nombre:

.gov
.mil
abus
accoun
admi
anyone
arin.
avp
bar.
bug
ca
contact
contact
crosoft
domain
example
feste
foo.
gmail
gnu.
gold-certs
google
gov.
help
hotmail
info
labs
listserv
master
math
mcrosoft
me
msn.
no
nobody
noone
not
nothing
ntivi
ophos
page
panda
priacycertific
rarsoft
rating
ripe.
root
sample
samples
sarc.
seclist
secure
secure
service
sf.net
site
soft
someone
sourceforge
spam
spersk
submit
suppor.
syma
the.bat
update
uslis
winzip.
you
your.

Para propagarse por redes P2P, se copia en aquellas carpetas cuyos nombres contengan algunos de estos textos:

download
ftproot
incoming
shar

Utiliza los siguientes nombres de archivos para crear sus copias en dichas carpetas:

Harry Potter
ICQ 4 Lite
index
Kazaa Lite
Winamp 5.0 (en)
Winamp 5.0 (en) Crack
WinRAR.v.3.2.and.key

Dichos archivos pueden tener cualquiera de las siguientes extensiones:

.com
.exe
.scr
.ShareReactor.com

El gusano puede cerrar las ventanas cuyos títulos contengan cualquiera de los siguientes textos:

rctrl_renwnd32
ATH_Note
IEFrame

avp.
avp32
intrena
mcafe
navapw
navw3
norton
reged
taskmg
taskmo

Para no ejecutarse más de una vez en memoria, utiliza como semáforo el siguiente mutex (creado cada vez que el gusano está en memoria ejecutándose):

jmydoat%smtx

Reparación manual

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar las carpetas compartidas de programas P2P

Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.

Para ello, siga las instrucciones del siguiente artículo:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\lsass.exe

IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\LSASS.EXE, ya que es un archivo legítimo de algunas versiones de Windows.

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Traybar

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Traybar

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\POSIX

7. Pinche en la carpeta "POSIX" y bórrela.

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\POSIX

9. Pinche en la carpeta "POSIX" y bórrela.

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com