Alert
Asses Mpeg's
File - movie SuCkingPuSSy.mpeg
Fw: `·.¸MPEG`·.¸
Fw: }>Fucking<{
Fw: Funny Ass
Fw: Lesbian Mpeg
Fw:'''~~movie'''~~25
Fwd: Important Alert
Hot XXX Streaming Videos, FREE Clips
Movie
Re: Fw:Women Mpeg
Re: Why?! BackSex.mpeg
Re:(movie)
Videos Clips...SeXxXy
XXX Funny movie

Texto: [uno de los siguientes en texto plano]

Babe sucking black Dog MPEG funny movie

hey guys my name is April Goostree i am a sexy 22 yr 
old bbw , 5'9, 48 dd , big ole booty, jus lovin 
life, until i get my pics posted in here you can 
either check out my profile or join my own yahoo 
group Texas-Sexy@groups.msn.com, either way works 
for me..i hope to become very active in this group, 
i like to get to know people, like to get on cam 
once in a while, jus to chill, when they aint none 
home..thats why its once in a while yaknow..anyways 
jus holla at me... n thanks for lettin me join!!! 
kisses kandee..Bye

Dozens of Free Video Clips to download.Many Niches. 
Updated regularly and more added daily.Taken From 
Vivi's Lovely Briefcase.

very good movie >>> Video's Media Player. SEX 
SEX * Sluts Tits Video Mpeg's Mpeg Video Clips

Cum and check this fun group out...Sexy ladies!! 
Come post your ad,..this is a real swingers group!! 
I'm attatching a Video Clip of my wife if interested 
in checking it out!

-==This server Cannot support Transfer Big Movies==-

Video's Girls Erotic WebCam's Tits Mpeg's Girls Ass 
SEX Pussy Video Clips

Here is another Vclip of my daily group :|

All kinda Women Can be Found Here To Satisfy Women 
Lovers' Eyes

u Love asses? Here is a great ass open wide waitin 
for ur lil Cock Bye

movie attached open by media Player 7.1

when i saw my ass i slept 3 hours why?? check my ass 
sorry my movie LOOOOOOOOL joke (^!^)

Check This ?ucking Babe ;D ?ucking = 
Sucking=Fucking

Todos ellos agregan el siguiente texto al final:

[dominio del destinatario] servers automatically
scanned for viruses using Norton AntiVirus-2004

Donde [dominio del destinatario] es el dominio de la dirección que aparece en el campo "Para:" (lo que está después de la arrobna).

Datos adjuntos: [dos archivos]

Archivo 1: [uno de los siguientes escenarios]

Primer escenario, [parte 1] + [parte 2]:

Donde [parte 1] es una de las siguientes:

april.mpeg
cluley.mpeg
frinds.mpeg
fucking.mpeg
juanita.mpeg
julia.mpeg
ricky.mpeg
sex[4].mpeg
sexual.mpeg
suck[7].mpeg
video2.mpeg
webcam.mpeg

Y [parte 2] es una de las siguientes:

_________________________________________________________.exe
_________________________________________________________.scr

Segundo escenario, [parte 1] + [parte 2]:

Donde [parte 1] es una de las siguientes:

april
assclip
bigfuck
blackdog
fuckgirl
hilton
juliaroberts
rickymartin
sex
shkira1990
sucking
vclip2
video

Y [parte 2] es una de las siguientes extensiones:

.gz
.taz
.tgz
.tz
.z
.zip

El nombre del archivo contenido dentro de los comprimidos, es uno de los indicados antes en "Escenario 1".

El segundo archivo adjunto (NAV2004.GIF), es la imagen con el falso mensaje de Norton AntiVirus, la cual muestra el texto "Norton 2004", "AntiVirus", "No virus threat detected":

Formato 2:

Es un mensaje con formato HTML, y un texto con una falsa advertencia:

Asunto: [uno de los siguientes]

Alert
Fwd: Important Alert

De: [remitente falso]

Texto:

Dear User,

This is A very High Resk Virus Alert

This email is sent to you because one or some of your friends has been infected with The W32.BlackWorm.A@mm Virus.
And you could be infected too.This Virus has the ability to damage the hard disk. This Virus infects computers using many new ways :

1- it arrives as an email attachment inside of jpg pictures.
2- it infects the ip address without the victim's knowledge.
3- it infects Microsoft Word Documents using a new exploit in hex (00fxf0xf10x).

Notes:

Symantec Consumer products that support Worm Blocking functionality automatically detect this threat as it attempts to spread.

Symantec Security Response has attached a removal tool to clean and prevent the infections of W32.BlackWorm.A@mm.

Sincerely
Norton AntiVirus

Datos adjuntos: [uno de los siguientes]

fix_blackworm.com
scan.zip
scan.tgz

El archivo comprimido contiene el siguiente:

fiz_blackworm.com

La infección se produce cuando se ejecuta cualquiera de los archivos ejecutables adjuntos.

Al ejecutarse por primera vez, puede mostrar el siguiente mensaje de error falso:

RUNDLL
Error loading mouse
The specified module could not be found.
[   OK   ]

Mientras se ejecuta, mantiene dos procesos de si mismo siempre activos. Cuando cualquiera de los dos es eliminado, el otro lo reinicia de inmediato.

El gusano utiliza su propio motor SMTP para propagarse a todos los contactos de MSN Messenger, Yahoo Pager, y direcciones electrónicas localizadas en archivos con extensión .HTM o .DBX en la máquina infectada.

Utiliza la presentación del Reproductor de Windows Media (Windows Media Player), para ocultar sus intenciones. Además intenta eliminar conocidos antivirus y cortafuegos, entre otras herramientas de seguridad. También intentará más adelante, borrar archivos del sistema.

Cuando el gusano se ejecuta, crea el siguiente archivo vacío (cero bytes), en la carpeta de temporales:

\TEMP\media.temp.mpeg

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

Luego ejecuta el Reproductor de Windows Media, el cuál falla al no poder abrir el archivo vacío, mostrando un mensaje de formato de archivo no reconocido. La única razón de este procedimiento, es engañar al usuario, quien seguramente se despreocupará luego de esta acción, pensando tal vez que el archivo recibido está corrupto o incompleto.

El gusano crea dos archivos DLL. Uno de ellos es el motor SMTP que utiliza para los envíos. El otro, es una herramienta utilizada para realizar ataques de denegación de servicio a determinados sitios:

c:\windows\system\ossmtp.dll
c:\windows\system\oswinsck.dll

También crea una carpeta llamada TEMPORARY dentro de C:\WINDOWS, copiándose en ella con diferentes nombres.

Se copia además con los siguientes nombres de archivos (también pueden ser nombres al azar):

c:\windows\system\blackworm.exe
c:\windows\system\winhlp32w.exe
c:\windows\temporary\delttsul.exe
c:\windows\win 32.com
c:\windows\win.exe

El gusano crea múltiples copias de si mismo en la carpeta System de Windows, y uno de esos archivos será utilizado como adjunto de los mensajes infectados que envíe (la lista de los archivos copiados es la detallada antes en la descripción de los mensajes).

Crea alguna de las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = c:\windows\system\[archivo]
[archivo] = c:\windows\temporary\[archivo]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = c:\windows\system\[archivo]
[archivo] = c:\windows\temporary\[archivo]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]

Donde [archivo] es el nombre de cualquiera de las copias del gusano.

El gusano crea también las siguientes entradas en el registro:

HKCC\Display\Fonts
(Predeterminado) = c:\windows\temporary\[archivo]

HKCC\Software\Microsoft
(Predeterminado) = c:\windows\system\[archivo]

HKLM\SOFTWARE\Classes\OSSMTP.Attachment
HKLM\SOFTWARE\Classes\OSSMTP.CustomHeader
HKLM\SOFTWARE\Classes\OSSMTP.SMTPSession
HKLM\SOFTWARE\Classes\oswinsck.TCP

El gusano es capaz de borrar los siguientes valores de las claves que se dan a continuación:

Claves:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Valores borrados:

au.exe
ccApp
Explorer
gigabit.exe
ICM version
KasperskyAv
McAfeeVirusScanService
MCAgentExe
McRegWiz
MCUpdateExe
McVsRte
Microsoft IE Execute shell
Microsoft System Checkup
msgsvr32
NAV Agent
Norton Antivirus AV
NPROTECT
PCCClient.exe
pccguide.exe
PCCIOMON.exe
PCClient.exe
PccPfw
ScriptBlocking
Sentry
ssate.exe
SSDPSRV
sysinfo.exe
SysMonXP
system.
Taskmon
tmproxy
VirusScan Online
VSOCheckTask
Windows Services Host
Winsock2 driver
winupd.exe

También intenta borrar todos los archivos ejecutables de las siguientes carpetas:

\Archivos de programa\McAfee\McAfee VirusScan\Vso\
\Archivos de programa\Norton AntiVirus\
\Archivos de programa\Symantec\LiveUpdate\
\Archivos de programa\Trend Micro\Internet Security\
\Archivos de programa\Trend Micro\PC-cillin 2002\
\Archivos de programa\Trend Micro\PC-cillin 2003\

Realiza ataques de denegación de servicio al siguiente sitio (New York Mercantile Exchange):

www.nymex.com

El gusano también enumera la lista de recursos compartidos que son accesibles, e intenta copiarse en cada uno de ellos.


Reparación manual

Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

\TEMP\media.temp.mpeg
c:\windows\system\blackworm.exe
c:\windows\system\ossmtp.dll
c:\windows\system\oswinsck.dll
c:\windows\system\winhlp32w.exe
c:\windows\win 32.com
c:\windows\win.exe

También borre la carpeta TEMPORARY y todo su contenido:

c:\windows\TEMPORARY

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas que aparezcan de esta lista:

(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

(Predeterminado) = c:\windows\system\[archivo]
[archivo] = c:\windows\temporary\[archivo]

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices

9. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

(Predeterminado) = c:\windows\system\[archivo]
[archivo] = c:\windows\temporary\[archivo]

10. Borre también las siguientes entradas del registro:

HKEY_CURRENT_CONFIG\Display\Fonts
(Predeterminado) = c:\windows\temporary\[archivo]

HKEY_CURRENT_CONFIG\Software\Microsoft
(Predeterminado) = c:\windows\system\[archivo]

HKEY_LOCAL_MACHINE\Classes\OSSMTP.Attachment
HKEY_LOCAL_MACHINE\Classes\OSSMTP.CustomHeader
HKEY_LOCAL_MACHINE\Classes\OSSMTP.SMTPSession
HKEY_LOCAL_MACHINE\Classes\oswinsck.TCP

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com