Asunto: Pictures with your loved one,

Texto:

Hi!

I'm sorry I have to send you these compromising pictures
with the one you love, or you loved. :((
The quality is not so good because of the cheap camera,
but you should be able to guess where they were taken.
I compressed it as a self extracting archive because I didn't
knew if you have WinZip. When you run it, it should display
the extract dialog. I'm really sorry I had to be the one who told
you about this. :((

Archivo adjunto: Images_zipped.exe (416,256 bytes)

Si el usuario ejecuta el adjunto, el gusano crea los siguientes archivos:

%Windows%\Systray.exe 
%Windows%\Msp.dll

La variable %Windows% corresponde generalmente a C:\Windows o C:\Winnt.

Modifica el registro de Windows agregando la siguiente clave, para ejecutar el virus en cada reinicio:

HKLMACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Msp = %Windows%\SYSTRAY.EXE

Luego ejecuta el archivo Systray.exe, y crea los siguientes archivos:

%Windows%\Images_Zipped.exe 
%Windows%\Msd.vbs

Ejecuta Msd.vbs, lo que inicia la rutina de envío de mensajes con el propio virus (Images_Zipped.exe) adjunto a ellos.

Finalmente, muestra este falso mensaje para simular hubo un error (pero el virus ya está activo):

Error
This WinZip archive seems to be incomplete.
Please download again the file,
or contact the vendor for an other copy.
[    OK    ]

Componentes principales:

SYSTRAY.EXE

Cuando el archivo IMAGES_ZIPPED.EXE es ejecutado, el gusano crea estos elementos en la carpeta Windows (C:\Windows por defecto):

C:\Windows\SYSTRAY.EXE (66 Kb)
C:\Windows\MSP.DLL (20 Kb) 

El propio ejecutable del gusano (IMAGES_ZIPPED.EXE) es copiado en C:\Windows, mientras se muestra un falso mensaje simulando es un archivo comprimido corrupto.

SYSTRAY.EXE es usado para coordinar el proceso de captura de lo tecleado, que se produce mediante el enganche a las funciones del teclado. MSP.DLL tiene las librerías necesarias para esta acción. Lo capturado es guardado en el archivo %Windows%\Msp.dat, y esa información es la enviada al atacante.

También modifica el archivo C:\Autoexec.bat para que al reiniciarse la computadora se borren todos los archivos y sub carpetas de las siguientes carpetas:

%Windows%\Local Settings 
%Windows%\History

MSD.VBS

Este código en Visual Basic Script se encarga de recoger las direcciones a las que se vaya a enviarles un mensaje infectado, y luego lo envía.

Las características del mensaje enviado son las vistas al principio.

Luego del envío, este script procede a borrar las carpetas de elementos enviados y elementos eliminados.

Como sacar el virus de un sistema infectado

Para eliminar el virus manualmente, siga estos pasos:

1. Primero ejecute un antivirus al día.

2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la entrada "MSP":

Msp = %Windows%\SYSTRAY.EXE

5. Utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios. Luego reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Vuelva a ejecutar un antivirus actualizado.

Relacionados:

VSantivirus No. 478 - 29/oct/01
Virus: W32/Paukor. Un gusano que captura todo lo tecleado
http://www.vsantivirus.com/paukor.htm


Fuente: Symantec

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com