CONTROL.EXE --> CONTROL.VXD
MPLAYER.EXE --> MPLAYER.VXD
NOTEPAD.EXE --> NOTEPAD.VXD
SCANREGW.EXE --> SCANREGW.VXD
WINHLP32.EXE --> WINHLP32.VXD

Al mismo tiempo, el virus se copia con el nombre del archivo original:

CONTROL.EXE
MPLAYER.EXE
NOTEPAD.EXE
SCANREGW.EXE
WINHLP32.EXE

Otros archivos .EXE Win32 en formato PE (Portable Executable), también pueden ser renombrados de la misma manera, al ser infectados.

El gusano también se copia en estas ubicaciones:

C:\WINDOWS\SYSTEM\LOADPE.COM
C:\WINDOWS\SYSTEM\SCANREGW.EXE

La siguiente clave del registro es modificada para permitir la ejecución del gusano (LOADPE.COM) cada vez que se llame cualquier archivo del tipo ejecutable .EXE (EXEFILE):

HKCR\exefile\shell\open\command\
(Predeterminado)="c:\windows\system\loadpe.com" "%1" %*"

También son creadas las siguientes claves:

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer
PLC_Region = [un valor numérico]

HKCR\vxdfile\shell\open\command\
(Predeterminado)="%1" %*

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
ScanRegistry="c:\windows\system\scanregw.exe"

Esta última entrada asegura su ejecución cada vez que se reinicie Windows.

Además de ser un gusano de Internet, el virus está catalogado como virus de compañía (companion). Se les llama virus de compañía, a los virus que no infectan directamente a otro archivo, sino que toman su nombre, se ejecutan primero, y luego de su acción maliciosa, le pasan el control al archivo original, o sea "acompañan" al archivo que será su víctima, sin infectarlo directamente (más allá de renombrarlo).

Esto hace que la limpieza de este virus sea una tarea tediosa y complicada, debido a las modificaciones realizadas.

Por ejemplo, si el archivo CONTROL.EXE está infectado, debe ser borrado, y luego se debe renombrar el archivo original (CONTROL.VXD) como CONTROL.EXE.

El mensaje enviado contiene un falso archivo de imagen, llamado PHOTO1.JPG.PIF, que en realidad es un ejecutable Win32 y no un .JPG, como aparenta su nombre (ver su doble extensión, por defecto Windows suele ocultar las extensiones conocidas, visualizando en este caso solo PHOTO1.JPG). Ver "Información complementaria".

En realidad este archivo es una copia del gusano. Sin embargo, a pesar de no ser un archivo de imagen, el virus mostrará igual una imagen en pantalla (el verdadero PHOTO1.JPG, que el virus trae en su código), para ocultar su verdadera intención, como vimos antes. Esta imagen quedará en c:\Windows\TEMP.

Se trata de la fotografía de una adolescente, sentada al lado de la supuesta mascota de MacDonald.



El cuerpo del mensaje recibido está escrito en ruso, en alfabeto Cirílico, y hace referencia a una persona de nombre Sveta Kovaleva, quien simula ser nueva en el uso de Internet.

Para enviar los mensajes infectados, el gusano utiliza los siguientes comandos para conectarse a través del protocolo SMTP con el servidor ruso smtp.mail.ru:

HELO smtp.mail.ru
mail from: <remitente>
rcpt to: <destinatario>
DATA <cuerpo del mensaje y adjunto en formato MIME>.
quit

El archivo adjunto será: Photo1.jpg.pif

El gusano es capaz además, de enviar mensajes con información confidencial robada de la máquina atacada, en mensajes como los siguientes:

De: Stat-generator v1.3 <xxxxxxx@mail.ru>
Para: <xxxxxxx@pisem.net>
Asunto: PLICT`01. Stat from [dirección IP de la víctima]
Archivo adjunto: STAT.PGP

Las "xxxxxxx" de los campos De: y Para:, son 7 caracteres formados al azar, en el caso del Para:, de acuerdo a la fecha actual.

Ejemplos:

syekqwc@mail.ru
kryfmta@mail.ru
nubipwd@mail.ru

pwdkryf@pisem.net
rzhpxfn@pisem.net

Los datos enviados por el gusano son:

• Contraseñas de acceso remoto (Internet) y nombres de usuario
• Contraseñas de acceso a redes locales y nombres de usuario
• Información sobre estos programas (si están instalados'): BCSoft NetLaunch, PySoft AutoConnect y CuteFtp
• Datos de configuración de Netscape y TheBat! (si están instalados)
• Lista de servidores FTP
• Contraseñas de la utilidad TMail (usada en redes FidoNet)
• Configuración del sistema y otros datos relacionados

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, es necesario realizar un engorroso y largo procedimiento, debido a las características del virus. Primero que nada, prepare un disquete de inicio y el antivirus F-PROT en un par de disquetes, tal como se indica en nuestro artículo de VSantivirus No. 158 - Año 4 - Miércoles 13 diciembre de 2000, Cómo ejecutar F-PROT en un disquete (actualizado) (se recomienda hacerlo en una máquina limpia).

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

3. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) "c:\windows\system\loadpe.com" "%1" %*

4. Haga doble clic sobre el nombre "Predeterminado" y edite en "Información del valor" el contenido anterior, de modo que solo quede lo siguiente (teclee comilla, porcentaje, número uno, comilla, espacio, porcentaje, asterisco):

"%1" %*

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

6. Pinche sobre la carpeta "RunServices". En el panel de la derecha busque lo siguiente:

ScanRegistry "c:\windows\system\scanregw.exe"

7. Pinche sobre "ScanRegistry", y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave (CUIDADO, asegúrese de haber seleccionado la rama "RunServices" en el punto 5, y NO "Run", donde existe una clave "ScanRegistry" que NO debe borrar).

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Inserte el disquete de inicio de Windows 98 antes mencionado, en la disquetera A:.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

11. Ejecute el F-PROT tal como se indica en el artículo mencionado desde A:\ con el comando:

f-prot.exe /loaddef /hard /disinf /auto

12. Escriba desde A:\ los siguientes comandos, dando ENTER al final de cada línea:

c:\
cd  windows
ren  notepad.vxd  notepad.exe
ren  control.vxd  control.exe
ren  mplayer.vxd  mplayer.exe
ren  winhlp32.vxd  winhlp32.exe
ren  scanregw.vxd  scanregw.exe

Nota: Si usted instaló Windows en otra carpeta, debe realizar la correspondiente modificación en la línea:  cd  carpeta_de_windows

13. Quite el disquete y reinicie su computadora.

14. Ejecute un par de antivirus desde Windows, haciendo un escaneo total de su PC.


Información complementaria

Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:

• En Windows 95/98:
  Seleccione Mi PC, Menú Ver, Opciones (u Opciones de carpetas).
• En Windows Me:
  Seleccione Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También recomendamos que MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.


Fuentes: Kaspersky, Network Associates, Symantec, Panda


Ver también:
13/dic/00 - Cómo ejecutar F-PROT en un disquete (actualizado)