Mail Body

Datos adjuntos: snowboard_accident.avi????????????????????????.exe

Donde "?????" representan 75 espacios en blanco.

La infección se produce cuando el usuario hace doble clic sobre el adjunto. El ejecutable infecta la utilidad NOTEPAD.EXE (el bloc de notas de Windows), y la copia en la siguiente ubicación:

c:\snowboard_accident.avi????????????????????????.exe

El gusano también es capaz de infectar otros archivos PE (Portable Executable) con las siguientes extensiones:

.exe
.cpl
.scr

PE es un formato de archivos ejecutables de Windows, que recibe el nombre de "portátil" porque el mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.

Una vez en memoria, el gusano intercepta todas las llamadas a las siguientes APIs de Windows:

WinExec
MoveFile
SetCurrentDir

API (Application Program Interface), es un conjunto de rutinas que un programa utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo.

Cada vez que el gusano detecta una de las llamadas mencionadas, intentará infectar los archivos relacionados, que cumplan con las condiciones vistas antes.

El gusano se agrega a si mismo al final de los archivos que infecta. Por ello los archivos infectados pueden aumentar unos 7,502 bytes su tamaño. En ocasiones, el gusano puede agregar otros 4,096 bytes más, conteniendo solo basura, a cada archivo infectado.

En el proceso, crea una nueva sección en el archivo infectado, con el nombre de ".DCUbLmd". Para no infectar de nuevo un archivo, busca dicho nombre en el header (cabezal), y no lo infecta si la sección existe.

Para propagarse por correo electrónico en mensajes como el ya descrito, el gusano libera y luego ejecuta un script VBS de 875 bytes en una de las siguientes ubicaciones (esta acción puede fallar en ocasiones, impidiendo su propagación):

c:\cthonic.vbs
c:\windows\cthonic.vbs

Cuando el script se ejecuta, el gusano accede al Outlook y Outlook Express usando funciones MAPI (Messaging Application Programming Interface, una interfase de programación para aplicaciones que gestionan correo electrónico), y se envía a todos los contactos de la libreta de direcciones del programa, usando SNOWBOARD_ACCIDENT.AVI????????????????????????.EXE como adjunto. 

El gusano crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = c:\snowboard_accident.avi????????????????????????.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre] = c:\snowboard_accident.avi????????????????????????.exe

-=[YoG-SoTHoTH]=-
The Ancient Ones are near !!! Fear not
these latter days of humanity...
Created by -=[YoG-SoTHoTH]=- on Sept2003
HEX EDITING BIATCHs.......FUCK OFF !!!
Win32.CthonicWorm.1a by -=[Azag-TH0TH]=-

Reparación manual

Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Repare (*) los archivos detectados como infectados

(*) Algunos archivos del virus solo podrán ser borrados


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre la entrada que haga referencia al siguiente archivo:

c:\snowboard_accident.avi????????????????????????.exe

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre la entrada que haga referencia al siguiente archivo:

c:\snowboard_accident.avi????????????????????????.exe

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com