c:\windows\fvprotect.exe
c:\windows\userconfig9x.dll

El .EXE llama al archivo .DLL (que incluye una sola función), y lo ejecuta.

También crea los siguientes archivos:

c:\windows\base64.tmp
c:\windows\zip1.tmp
c:\windows\zip2.tmp
c:\windows\zip3.tmp
c:\windows\zipped.tmp

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

El gusano crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Norton Antivirus AV = c:\windows\fvprotect.exe

También puede crear las siguientes entradas para ejecutarse como servicio:

HKLM\SYSTEM\CurrentControlSet\Services\NPF

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF

El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:

.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml

Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo, enviando mensajes con las siguientes características, a las direcciones obtenidas antes:

De: [remitente falso]

Cualquier dirección de las obtenidas por el gusano en la máquina infectada.

Asunto: [uno de los siguientes]

approved
corrected
hello
here
hi
important
improved
patched
Re: Administration
Re: Bad Request
Re: Delivery Protection
Re: Delivery Server
Re: Encrypted Mail
Re: Error
Re: Extended Mail
Re: Extended Mail System
Re: Failure
Re: Mail Authentification
Re: Mail Server
Re: Message Error
Re: Notify
Re: Protected Mail Delivery
Re: Protected Mail Request
Re: Protected Mail System
Re: Secure delivery
Re: Secure SMTP Message
Re: SMTP Server
Re: Status
Re: Test
Re: Thank you for delivery
read it immediately
thanks!

Algunos de estos asuntos agregan un "Re:" al comienzo (aún los que ya lo tienen). Ejemplos:

Re: Re: Mail Authentification
Re: hello

Texto del mensaje: [1]+[2]+[3]

Donde [1] es uno de los siguientes elementos:

• Bad Gateway: The message has been attached.
• Delivered message is attached.
• Encrypted message is available.
• ESMTP [Secure Mail System #334]: Secure message is attached.
• First part of the secure mail is available.
• Follow the instructions t read the message.
• For further details see the attachment.
• For more details see the attachment.
• Forwarded message is available.
• New message is available.
• Now a new message is available.
• Partial message is available. Waiting for a Response. Please read the attachment.
• Please authenticate the secure message.
• Please confirm my request.
• Please read the attachment t get the message.
• Protected Mail System Test.
• Protected message is attached.
• Protected message is available.
• Secure Mail System Beta Test.
• SMTP: Please confirm the attached message.
• Waiting for authentification.
• You got a new message.
• You have received an extended message. Please read the instructions.
• Your requested mail has been attached.

[2] es una de las siguientes líneas:

• Authentication required.
• I have attached your document.
• I have received your document. The corrected document is attached.
• Please confirm the document.
• Please read the attached file!
• Please read the document.
• Please read the important document.
• Please see the attached file for details.
• Requested file.
• See the file.
• Your details.
• Your document is attached t this mail.
• Your document is attached.
• Your document.
• Your file is attached.

Y [3] es uno de los siguientes textos:

+++ Attachment: N Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com

+++ Attachment: N Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com

+++ Attachment: N Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

+++ Attachment: N Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com

+++ Attachment: N Virus found
+++ Panda AntiVirus - www.pandasoftware.com

++++ Attachment: N Virus found
++++ Norman AntiVirus - www.norman.com

++++ Attachment: N Virus found
++++ F-Secure AntiVirus - www.f-secure.com

++++ Attachment: N Virus found
++++ Norton AntiVirus - www.symantec.de

Datos adjuntos: [varios nombres]

Los nombres de los archivos adjuntos, son seleccionados de la siguiente lista (pueden existir otros):

data
details
document
message
msg
readme

Puede agregar el nombre de usuario del correo electrónico al que se envía, separado por el carácter "_". Por ejemplo, si la dirección es jose@dominio.com, el adjunto podría tener uno de estos nombres:

data_jose
details_jose
document_jose
message_jose
msg_jose
readme_jose

Los adjuntos utilizan algunas de estas extensiones:

.doc [espacios vacíos].exe
.doc [espacios vacíos].pif
.doc [espacios vacíos].scr
.doc.exe
.doc.pif
.doc.scr
.exe
.pif
.scr
.txt [espacios vacíos].exe
.txt [espacios vacíos].pif
.txt [espacios vacíos].scr
.txt.exe
.txt.pif
.txt.scr
.zip

Donde [espacios vacíos] son de 60 a 80 caracteres en blanco. Ejemplos de nombres de adjuntos (enviados al usuario jose@dominio.com):

details.doc                                       .scr
msg_jose.scr
readme.txt.exe
data.txt                                                 .pif

Cuando el adjunto tiene extensión .ZIP, su contenido puede ser uno de los siguientes:

data.rtf [espacios vacíos].scr
details.txt [espacios vacíos].pif
document.txt [espacios vacíos].exe

El adjunto puede ejecutarse al leer el mensaje o al verlo en el panel de vista previa, en equipos con Internet Explorer 5.5 o inferior, sin los parches correspondientes. Este fallo no afecta al IE 6.0, ni a equipos con los parches actualizados (fue corregido por Microsoft en marzo de 2001).

Ver: Grave vulnerabilidad en extensiones MIME en IE
http://www.vsantivirus.com/vulms01-020.htm

El gusano posee su propio motor SMTP, y para el envío de los mensajes consulta al servidor de nombres configurado en la conexión actual.

Evita enviarse a direcciones que contengan estas cadenas:

@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@

El gusano también examina el sistema en busca de carpetas que contengan en su nombre alguna de las siguientes cadenas (suelen ser carpetas compartidas por utilidades P2P de intercambio de archivos entre usuarios, como KaZaa y otras):

bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
my shared folder
shar
shared files
upload

En cada una de las carpetas cuyo nombre contenga algunas de esas cadenas, creará una copia de si mismo con los siguientes nombres, buscando propagarse a través de redes P2P:

1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Britney sex xxx.jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
RFC compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
Ulead Keygen 2004.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
WinAmp 13 full.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
XXX hardcore pics.jpg.exe

Crea dos mutex, "'D'r'o'p'p'e'd'S'k'y'N'e't'" y "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_", para no ejecutarse más de una vez en memoria.

El gusano intenta eliminar los datos agregados en el registro por otros gusanos.


Herramientas de limpieza automática

Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

Future Time Srl (NOD 32) (290 Kb)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=NetskyQ

McAfee AVERT Stinger (734 Kb)
http://download.nai.com/products/mcafee-avert/stinger.exe


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\base64.tmp
c:\windows\fvprotect.exe
c:\windows\userconfig9x.dll
c:\windows\zip1.tmp
c:\windows\zip2.tmp
c:\windows\zip3.tmp
c:\windows\zipped.tmp

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Norton Antivirus AV

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\NPF

5. Pinche en la carpeta "NPF" y bórrela.

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_NPF

7. Pinche en la carpeta "LEGACY_NPF" y bórrela.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

23/03/04 - Herramientas de limpieza (McAfee, Nod32)
09/07/04 - 12:56 -0300 (Alias: Worm.SomeFool.P)



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com