c:\windows\aolfix.exe

También puede liberar el siguiente archivo (de acuerdo a la versión):

c:\windows\partyboy.exe

NOTA: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000).

También crea un archivo de proceso por lotes (.BAT) que ejecuta el archivo AOLFIX.EXE o PARTYBOY.EXE y luego se borra al terminar la ejecución. Para ello, crea el siguiente directorio, con los atributos de oculto:

c:\bdtmp\tmp

Luego crea y ejecuta el mencionado archivo .BAT en dicha carpeta, con un nombre aleatorio compuesto de cualquier dígito entre 100 y 9999, por ejemplo:

c:\bdtmp\tmp\100.bat

También crea los siguientes archivos para su uso interno:

c:\windows\o.reg
c:\windows\o2.reg
c:\windows\o.vbs

Luego de ejecutarse, borra dicho archivo .BAT

AOLFIX.EXE (o PARTYBOY.EXE), a su vez, es también un archivo de proceso por lotes, pero compilado con la herramienta "bat2exe" para convertirlo en un ejecutable (.EXE).

Cuando AOLFIX.EXE o PARTYBOY.EXE se ejecuta, el mismo comprueba si existe el siguiente archivo:

c:\windows\winlog

Si existe, el troyano no realiza ninguna otra acción y solo termina de ejecutarse.

Si WINLOG no existe (es un archivo sin extensión), entonces el troyano intenta modificar las siguientes entradas en el registro:

HKLM\System\CurrentControlSet\Services\VxD\MSTCP\
"EnableDNS"="1"
"NameServer"="69.57.146.14,69.57.147.175"
"HostName"="host"
"Domain"="mydomain.com"

HKCU\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\
"ProxyEnable"=dword:00000000
"MigrateProxy"=dword:00000000

HKCU\Software\Microsoft\Internet Explorer\Main\
"Use Search Asst"="no"
"Search Page"="http://www.google.com"
"Search Bar"="http://www.google.com/ie"

HKCU\Software\Microsoft\Internet Explorer\SearchURL\
(Predeterminado)="http://www.google.com/keyword/%%s"
"provider"="gogl"

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\
"SearchAssistant"="http://www.google.com/ie"

Estas configuraciones, cambia las direcciones de los servidores DNS en la máquina infectada por las siguientes:

69.57.146.14
69.57.147.175

También se cambia el nombre del dominio a "host.mydomain.com", deshabilita (si estuviera activo), el servidor proxy del Internet Explorer, y cambia la página de búsqueda por defecto del Internet Explorer, por "www.google.com".

El troyano examina si existe el siguiente archivo:

c:\windows\system32\drivers\etc\services

Si existe un archivo SERVICES, modifica las siguientes entradas en el registro (la presencia de este archivo le indica al gusano que se está ejecutando en Windows 2000 o Windows XP):

HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
"DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00,
65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,68,00,
65,00,6c,00,70,00,00,00

HKLM\SYSTEM\ControlSet002\Services\Tcpip\Parameters
"DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00,
65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,68,00,
65,00,6c,00,70,00,00,00

HKLM\SYSTEM\ControlSet001\Services\Tcpip
\Parameters\interfaces\windows
"r0x"="your s0x"

HKLM\SYSTEM\ControlSet002\Services\Tcpip
\Parameters\interfaces\windows
"r0x"="your s0x"

El contenido de "DataBasePath", es una cadena unicode, que obliga a Windows a cargar el archivo HOSTS desde el directorio C:\WINDOWS\HELP, en lugar de la ubicación normal en esos sistemas:

c:\windows\system32\drivers\etc\

HOSTS. Es un archivo en formato texto, sin extensión, ubicado en windows\hosts o windows\system32\drivers\etc\hosts, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS.

El troyano también enumerará y modificará cada valor "NameServer" encontrado en las siguientes claves:

HKLM\SYSTEM\ControlSet001\Services
\Tcpip\Parameters\Interfaces

HKLM\SYSTEM\ControlSet002\Services
\Tcpip\Parameters\Interfaces

Este valor indica los servidores DNS que usará la máquina al conectarse a Internet. El troyano cambia los que pone por defecto la instalación con un determinado proveedor de servicio, por las siguientes (ya vistas):

69.57.146.14
69.57.147.175

Luego el troyano modifica el archivo HOSTS (sin extensión) localizado en el directorio de Windows, para que los nombres de dominio de las herramientas buscadores más populares, sean redireccionadas a la dirección IP 207.44.220.30 y 88.88.88.88

Los nombres de dominio redireccionados, son los siguientes:

alltheweb.com
altavista.com
ask.com
au.search.yahoo.com
auto.search.msn.com
ca.search.msn.com
ca.search.yahoo.com
de.search.yahoo.com
elite
fr.ca.search.msn.com
go.google.com
google.at
google.be
google.ca
google.co.il
google.co.kr
google.co.nz
google.com
google.com.hk
google.com.mx
google.com.ru
google.com.sg
google.de
google.dk
google.fi
google.fr
google.ie
google.it
google.nl
google.pl
hotbot.com
jp.search.yahoo.com
search.aol.com
search.fr.msn.be
search.fr.msn.ch
search.latam.yupimsn.com
search.lycos.com
search.msn.at
search.msn.be
search.msn.ch
search.msn.co.in
search.msn.co.jp
search.msn.co.kr
search.msn.co.za
search.msn.com
search.msn.com.br
search.msn.com.hk
search.msn.com.my
search.msn.com.sg
search.msn.com.tw
search.msn.de
search.msn.dk
search.msn.es
search.msn.fi
search.msn.fr
search.msn.it
search.msn.nl
search.msn.no
search.msn.se
search.ninemsn.com.au
search.t1msn.com.mx
search.xtramsn.co.nz
search.yahoo.co.jp
search.yahoo.com
search.yupimsn.com
uk.search.msn.com
uk.search.yahoo.com
web.ask.com
www.altavista.com
www.ask.com
www.google.akadns.net
www.google.at
www.google.be
www.google.ca
www.google.ch
www.google.co.il
www.google.co.jp
www.google.co.kr
www.google.co.nz
www.google.co.th
www.google.co.uk
www.google.com
www.google.com.au
www.google.com.gr
www.google.com.hk
www.google.com.mx
www.google.com.ru
www.google.com.sg
www.google.com.tr
www.google.com.tw
www.google.de
www.google.dk
www.google.fi
www.google.fr
www.google.ie
www.google.it
www.google.jp
www.google.nl
www.google.pl
www.google.pt
www.google.se
www.google.uk
www.hotbot.com
www.looksmart.com
www.lycos.ca
www.lycos.co.jp
www.lycos.com
www.lycos.de
www.lycos.jp
www.teoma.com

Si el troyano localiza el archivo SERVICES en "\system32\drivers\etc", sabe que está ejecutándose en Windows 2000 o XP, y entonces crea el archivo HOSTS en la carpeta C:\WINDOWS\HELP.

Finalmente el troyano crea el archivo WINLOG (sin extensión), en C:\WINDOWS\, y lo utiliza como marca de infección.


Reparación manual

1. Actualice sus antivirus con las últimas definiciones

2. Ejecútelos en modo escaneo, revisando todos sus discos

3. Borre los archivos detectados como infectados

4. Borre del archivo HOSTS las siguientes entradas (o borre todo el archivo HOSTS. Este archivo normalmente no es utilizado en una instalación doméstica. En caso contrario, confirme con el administrador de su red si el mismo es necesario, y de lo contrario bórrelo):

88.88.88.88     elite
207.44.220.30  alltheweb.com
207.44.220.30  altavista.com
207.44.220.30  ask.com
207.44.220.30  au.search.yahoo.com
207.44.220.30  auto.search.msn.com
207.44.220.30  ca.search.msn.com
207.44.220.30  ca.search.yahoo.com
207.44.220.30  de.search.yahoo.com
207.44.220.30  fr.ca.search.msn.com
207.44.220.30  go.google.com
207.44.220.30  google.at
207.44.220.30  google.be
207.44.220.30  google.ca
207.44.220.30  google.co.il
207.44.220.30  google.co.kr
207.44.220.30  google.co.nz
207.44.220.30  google.com
207.44.220.30  google.com.hk
207.44.220.30  google.com.mx
207.44.220.30  google.com.ru
207.44.220.30  google.com.sg
207.44.220.30  google.de
207.44.220.30  google.dk
207.44.220.30  google.fi
207.44.220.30  google.fr
207.44.220.30  google.ie
207.44.220.30  google.it
207.44.220.30  google.nl
207.44.220.30  google.pl
207.44.220.30  hotbot.com
207.44.220.30  jp.search.yahoo.com
207.44.220.30  search.aol.com
207.44.220.30  search.fr.msn.be
207.44.220.30  search.fr.msn.ch
207.44.220.30  search.latam.yupimsn.com
207.44.220.30  search.lycos.com
207.44.220.30  search.msn.at
207.44.220.30  search.msn.be
207.44.220.30  search.msn.ch
207.44.220.30  search.msn.co.in
207.44.220.30  search.msn.co.jp
207.44.220.30  search.msn.co.kr
207.44.220.30  search.msn.co.za
207.44.220.30  search.msn.com
207.44.220.30  search.msn.com.br
207.44.220.30  search.msn.com.hk
207.44.220.30  search.msn.com.my
207.44.220.30  search.msn.com.sg
207.44.220.30  search.msn.com.tw
207.44.220.30  search.msn.de
207.44.220.30  search.msn.dk
207.44.220.30  search.msn.es
207.44.220.30  search.msn.fi
207.44.220.30  search.msn.fr
207.44.220.30  search.msn.it
207.44.220.30  search.msn.nl
207.44.220.30  search.msn.no
207.44.220.30  search.msn.se
207.44.220.30  search.ninemsn.com.au
207.44.220.30  search.t1msn.com.mx
207.44.220.30  search.xtramsn.co.nz
207.44.220.30  search.yahoo.co.jp
207.44.220.30  search.yahoo.com
207.44.220.30  search.yupimsn.com
207.44.220.30  uk.search.msn.com
207.44.220.30  uk.search.yahoo.com
207.44.220.30  web.ask.com
207.44.220.30  www.altavista.com
207.44.220.30  www.ask.com
207.44.220.30  www.google.akadns.net
207.44.220.30  www.google.at
207.44.220.30  www.google.be
207.44.220.30  www.google.ca
207.44.220.30  www.google.ch
207.44.220.30  www.google.co.il
207.44.220.30  www.google.co.jp
207.44.220.30  www.google.co.kr
207.44.220.30  www.google.co.nz
207.44.220.30  www.google.co.th
207.44.220.30  www.google.co.uk
207.44.220.30  www.google.com
207.44.220.30  www.google.com.au
207.44.220.30  www.google.com.gr
207.44.220.30  www.google.com.hk
207.44.220.30  www.google.com.mx
207.44.220.30  www.google.com.ru
207.44.220.30  www.google.com.sg
207.44.220.30  www.google.com.tr
207.44.220.30  www.google.com.tw
207.44.220.30  www.google.de
207.44.220.30  www.google.dk
207.44.220.30  www.google.fi
207.44.220.30  www.google.fr
207.44.220.30  www.google.ie
207.44.220.30  www.google.it
207.44.220.30  www.google.jp
207.44.220.30  www.google.nl
207.44.220.30  www.google.pl
207.44.220.30  www.google.pt
207.44.220.30  www.google.se
207.44.220.30  www.google.uk
207.44.220.30  www.hotbot.com
207.44.220.30  www.looksmart.com
207.44.220.30  www.lycos.ca
207.44.220.30  www.lycos.co.jp
207.44.220.30  www.lycos.com
207.44.220.30  www.lycos.de
207.44.220.30  www.lycos.jp
207.44.220.30  www.teoma.com

5. Ejecute REGEDIT desde Inicio, Ejecutar, abra la siguiente rama del registro, y luego borre los valores que se indican de la clave del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\VxD\MSTCP

Borre estas entradas:

EnableDNS
NameServer
HostName host
Domain mydomain.com

6. Abra la siguiente rama del registro, y luego borre los valores que se indican abajo:

HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet Settings

Borre estas entradas:

ProxyEnable
MigrateProxy

7. Abra la siguiente rama del registro, y luego borre los valores que se indican abajo:

HKEY_CURRENT_USER\Software\Microsoft
\Internet Explorer\Main

Borre estas entradas:

Use Search Asst
Search Page
Search Bar

8. Abra la siguiente rama del registro, y luego borre los valores que se indican abajo:

HKEY_CURRENT_USER\Software\Microsoft
\Internet Explorer\SearchURL

Borre estas entradas:

(Predeterminado)
provider

9. Abra la siguiente rama del registro, y luego borre los valores que se indican abajo:

HKEY_CURRENT_USER\Software\Microsoft
\Internet Explorer\Search

Borre esta entrada:

SearchAssistant

10. Abra la siguiente rama del registro, y luego borre los valores que se indican abajo:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\Tcpip\Parameters\interfaces\windows

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
\Services\Tcpip\Parameters\interfaces\windows

En cada una de esas ramas, borre esta entrada:

r0x

Información adicional

MS03-040 Actualización acumulativa para IE (828750)
http://www.vsantivirus.com/vulms03-040.htm

Se recomienda la siguiente configuración para evitar la ejecución de controles ActiveX peligrosos: 

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Más información sobre esta falla, y sobre el gusano propiamente dicho, en los siguientes enlaces:

Proteja su equipo antes que sea demasiado tarde
http://www.vsantivirus.com/ev02-10-03.htm

Nuevos ataques producen cambios en la configuración DNS
http://www.vsantivirus.com/02-10-03.htm

Crecen ataques usando fallas que parche de IE no corrige
http://www.vsantivirus.com/30-09-03.htm

Parche crítico del Internet Explorer no funciona
http://www.vsantivirus.com/ev09-09-03.htm

Falla crítica en el Internet Explorer y como protegernos
http://www.vsantivirus.com/10-09-03.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

03/10/03 - Alias: Trj/Hatoy.A, Trj/Hatoy.B
04/10/03 - Parche para Internet Explorer MS03-040
13/07/04 - Corrección de un error en la descripción de la limpieza




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com