De: AVP-Team(AVP.Mailer@avp.com)
Asunto: AVP-Virus-Warning
Texto:
New virus in "The Wild" called "W32/Cow".Spreads
through e-mail and IRC.A solution is this free
program.Send this message to your friends.
Thank you, AVP Team

De: piadeiros@risadinha.com.br
Asunto: Piada do Paciente Galo
Texto:
Um paciente chegou com o psiquiatra e disse:
- Doutor, eu sou um galo...

De: jonas.rc@yahoo.com.b
Asunto: Ei, psiu...
Texto:
Nada. Te peguei...Gosto muito de voc, viu ?
Estou com saudades. De seu amigo, Jonas.

De: notice@programese.kit.net
Asunto: Bom dia !!!
Texto:
Feliz Aniversrio !!!

En todos los casos, utiliza como datos adjuntos archivos con diferentes nombres y extensión .EXE.

La infección se produce cuando el usuario ejecuta dicho archivo. Cuando ello sucede, el gusano se copia en la siguiente ubicación:

\Temp\taskmgr32.exe
\Temp\HookLib.dll

Este último es un capturador de teclas pulsadas.

Además, se copia con uno de los siguientes nombres:

\Temp\taskmgr320.exe
\Temp\taskmgr321.exe
\Temp\taskmgr322.exe
\Temp\taskmgr323.exe
\Temp\taskmgr324.exe
\Temp\taskmgr325.exe
\Temp\taskmgr326.exe
\Temp\taskmgr327.exe
\Temp\taskmgr328.exe
\Temp\taskmgr329.exe

NOTA: "\TEMP" es siempre "C:\Windows\TEMP" sin importar el Windows instalado (si no existen, crea dichas carpetas).

Luego se conecta al servidor SMTP smtp.ig.com.br, y envía uno de los mensajes antes descriptos a direcciones extraídas de archivos de la máquina infectada.

También modifica la siguiente rama del registro para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon = [uno de los ejecutables del gusano]

Agrega también los siguientes valores en el registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows
cftmon32 = "Java Compiler"
pcount = [veces que se ejecutó]

Finalmente muestra un archivo HTML que simula ser una página oficial de Symantec, que incluye entre otros, el siguiente texto en portugués:

instalação finalizada com sucesso

A instalação de seu novo produto Symantec de
verificação de segurança foi realizada com sucesso.
Aproveite o tempo que você perdia verificando a
existência de virus para tomar mais um cafezinho.

Según reporta Symantec, en agosto de 2003, el gusano también se propagó manualmente en forma de spam, en mensajes con las siguientes características:

De: Symantec.Brasil [symantec.brasil@uol.com.br]
Asunto: Cuidado com sues e-mails
Texto:
[mensaje en HTML con el logo de Symantec, también
escrito en portugués]

Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

KEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

ctfmon

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows

5. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

cftmon32
pcount

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com