Asunto: Fwd:None
Datos adjuntos: attach.exe

Texto:

Do you want to surprise you wife or husband?
Do you want to do something Romantic for them?
Wanna find out how to get lucky ;? Sydney has
made this Awesome Document Attached. It tells
men everything a Lady wants! And ladies you
can add stuff onto it before forwarding it to
all your freinds.

Cuando se ejecuta, el gusano muestra una ventana con el siguiente mensaje:

Se copia a si mismo en las siguientes ubicaciones:

c:\attach.exe
c:\documents and settings\all users\start menu
       \programs\startup\backup.exe
c:\dosboot.exe
c:\virus.exe
c:\windows\desktop\norton antivirus 2003.exe
c:\windows\nortonantivirus.exe
c:\windows\start menu\programs\startup\nortonantivirus.exe
c:\windows\system\winsys.dll
c:\windows\system32\winsys.dll
c:\windows\worm.exe
c:\worm.exe

Agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\microsoft\windows\currentversion\runservices
SYDNEY = [camino y nombre del gusano]

Es capaz de borrar los siguientes archivos:

C:\Windows\Desktop\*.Ink
C:\Windows\FONTS\*.ttf
C:\Windows\SYSBCKUP\*.dat
C:\Windows\SYSBCKUP\*.dll
C:\Windows\ *.pwl
C:\\Windows\Regedit.exe
C:\Program Files\Common Files\Symantec Shared\*.exe
C:\Program Files\Norton AntiVirus\*.exe
C:\Program Files\Norton AntiVirus\*.ini
C:\Program Files\Norton AntiVirus\*.Vxd
C:\Program Files\Norton AntiVirus\*.Dat

Crea también los siguientes archivos:

1. C:\Windows\Desktop\Read Me.txt

Ese archivo contiene el siguiente texto:

Dear User,
You have problably Noticed you Windows Start-Up and Shutdown screens where modifyed This is because you Machine is Infected with the w32.Sydney Worm. Download a Virus Removal tool from www.Norton.com
I love You!

2. C:\Batch.Bat

Con este BAT, el gusano lanza el 7 de octubre de 2003, ataques de denegación de servicio (DoS) a los siguientes sitios de Internet:

www.micrsoft.com
www.norton.com
www.mcafee.com

3. C:\VirusGen.Bat

Lo usa el gusano para copiarse en las siguientes ubicaciones y luego ejecutarse:

%System%\%Random%\%Random%.bat
Program Files\%Random%\%Random%.bat
%Windir%\%Random%\%Random%.bat

Las variables representan lo siguiente:

%Random% = un número al azar
%Windir% = C:\Windows o C:\WinNT
%System% = C:\Windows\System, C:\Winnt\System32

4. C:\Time.Bat

Con este archivo cambia la hora del sistema a las 10:00, y convierte a la unidad de disco C:, en una carpeta compartida como el nombre de "Sydney".

5. C:\Windows\Squeaky.txt

Contiene el siguiente texto:

The Sydney worm has been here

6. C:\NAVKILL.Bat

Con este archivo intenta borrar lo siguiente:

C:\Program Files\Common Files\Symantec Shared\CCAP.EXE

7. C:\DosBoot\Autoexec.bat

Ejecuta el archivo: C:\Virus.Exe (el gusano)

El gusano también modifica el archivo C:\AUTOEXEC.BAT para que ejecute el archivo VIRUS.EXE al inicio:

START C:\Virus.Exe

Intenta borrar el mismo archivo anterior:

C:\Program Files\Common Files\Symantec Shared\CCAP.EXE

El 25 de junio de 2003, el gusano puede borrar los siguientes archivos:

C:\*com
C:\Windows\System\*.dll
C:\Windows\System\*.exe
C:\Windows\System\*.pwl
C:\Windows\System\*.pas
C:\Windows\System\*.sys
C:\Windows\System\*.bmp
C:\Windows\System\*.pif
C:\Windows\System\*.ink
C:\Windows\*.dll
C:\Windows\*.exe
C:\Windows\*.pwl
C:\Windows\*.pas
C:\Windows\*.sys
C:\Windows\*.bmp
C:\Windows\*.pif
C:\Windows\*.ink

También sobrescribe los siguientes archivos:

C:\WINDOWS\CURSORS\Arrow_m.cur
C:\Windows\Logow.Sys

También puede copiarse en una o más de las siguientes ubicaciones:

C:\Aattach.exe
C:\Aettach.exe
C:\Aqttach.exe
C:\Arttach.exe
C:\Atetach.exe
C:\Atftach.exe
C:\Athtach.exe
C:\Atqtach.exe
C:\Atrtach.exe
C:\Attaach.exe
C:\Attacah.exe
C:\Attaceh.exe
C:\Attach.etxe
C:\Attachh.exe
C:\Attacht.exe
C:\Attachy.exe
C:\Attacth.exe
C:\Attacwh.exe
C:\Attaczh.exe
C:\Attaech.exe
C:\Attafch.exe
C:\Attahch.exe
C:\Attaqch.exe
C:\Attarch.exe
C:\Attatch.exe
C:\Attaych.exe
C:\Atteach.exe
C:\Attrrach.exe
C:\Atttacht.exe
C:\Attttach.exe
C:\Attwach.exe
C:\Attzach.exe
C:\Atytach.exe
C:\aVirus.exe
C:\Awttach.exe
C:\Azttach.exe
C:\eVirus.exe
C:\hAttach.exe
C:\qVirus.exe
C:\rAttach.exe
C:\rVirus.exe
C:\tAttach.exe
C:\Vdirus.exe
C:\Veirus.exe
C:\Vhirus.exe
C:\Viarus.exe
C:\Vierus.exe
C:\Vireus.exe
C:\Virfus.exe
C:\Virhhus.exe
C:\Virqus.exe
C:\Virrus.exe
C:\Viruas.exe
C:\Virues.exe
C:\Virus.etxe
C:\Virus.exet
C:\Virus.texe
C:\Viruse.exe
C:\Virusf.exe
C:\Virush.exe
C:\Virusr.exe
C:\Virust.etxe
C:\Virust.exe
C:\Virust.texe
C:\Virusy.exe
C:\Viruts.exe
C:\Viruws.exe
C:\Viruzs.exe
C:\Viryus.exe
C:\Viwrus.exe
C:\Vizrus.exe
C:\Vrirus.exe
C:\Vtirus.exe
C:\Vttirus.exe
C:\Vyirus.exe
C:\wAttach.exe
C:\Windows\Arttach.exe
C:\Windows\Athtach.exe
C:\Windows\Atrtach.exe
C:\Windows\Attach.etxe
C:\Windows\Attach.exe
C:\Windows\Attachh.exe
C:\Windows\Attacht.exe
C:\Windows\Attachy.exe
C:\Windows\Attacth.exe
C:\Windows\Attahch.exe
C:\Windows\Attarch.exe
C:\Windows\Attatch.exe
C:\Windows\Attaych.exe
C:\Windows\Attrrach.exe
C:\Windows\Atttacht.exe
C:\Windows\Attttach.exe
C:\Windows\Atytach.exe
C:\Windows\hAttach.exe
C:\Windows\rAttach.exe
C:\Windows\rVirus.exe
C:\Windows\tAttach.exe
C:\Windows\Vhirus.exe
C:\Windows\Virhhus.exe
C:\Windows\Virrus.exe
C:\Windows\Virus.etxe
C:\Windows\Virus.exe
C:\Windows\Virus.exet
C:\Windows\Virus.texe
C:\Windows\Virush.exe
C:\Windows\Virusr.exe
C:\Windows\Virust.etxe
C:\Windows\Virust.exe
C:\Windows\Virust.texe
C:\Windows\Virusy.exe
C:\Windows\Viruts.exe
C:\Windows\Viryus.exe
C:\Windows\Vrirus.exe
C:\Windows\Vtirus.exe
C:\Windows\Vttirus.exe
C:\Windows\Vyirus.exe
C:\Windows\yAttach.exe
C:\wVirus.exe
C:\yAttach.exe
C:\zVirusq.exe

Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Cómo recuperar REGEDIT.EXE

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

REGEDIT.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").


En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

REGEDIT.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").


En Windows XP:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Expandir archivo"

3. En "Archivo para restaurar" escriba el nombre del archivo a restaurar:

REGEDIT.EXE

4. En "Restaurar desde" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Expandir".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

3. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

SYDNEY

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre todas las líneas que contengan lo siguiente:

START C:\Virus.Exe

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

12/set/03 - Se amplia la descripción




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com