Bin Laden toillete paper !!
Sadam hussein & BinLaden IN LOVE
Bush fucks Bin Laden hardly <:P
Is Osama Bin Laden BAD-LOVED ?
USA against Geneva Convention ?
Anthrax mail is true(not a joke)
Biological weapons: Preventing !
Fucking a mullah in Islamabad
O papel higienico do Bin Laden !
Sadam e BinLaden apaixonados
Bush fudendo Bin Laden <:P
Antraz pelo correio (verdade)
Armas biologicas: Previna-se !
Bin Landen Toalettpapper
Knulla en muslim i Islamabad
papier toillette Bin Laden
Sadam & BinLaden EN AMOUR
Usa contre la convention de Geneve?
Le courrier Anthrax existe vraiment
Xarti toualetas Bin Landen !!
Hussein & Bin Laden, ERASTES
O Bush gamaei agria ton Bin Laden
Einai o Osama apotuximenos ston erwta?
Amerikh enantia sto synedrio tis Genova?
H epistoles me Antraka,einai gegonos
Biologika wpla: Prostasia !
Gamontas ena Moula sto Islamabad

El remitente del mensaje, como en el caso del Hybris, es siempre el mismo: root@fun.com. Recordemos que el Hybris (el del enanito), a pesar de eso, sigue siendo uno de los virus más propagados.

El cuerpo del mensaje suele venir en blanco.

El gusano explota una conocida vulnerabilidad del Outlook y Outlook Express, que hace que se ejecute simplemente por visualizar el mensaje en la vista previa, o simplemente al abrirlo, sin necesidad de abrir específicamente el adjunto.

El parche para esta vulnerabilidad está disponible en esta dirección:
www.microsoft.com/technet/security/bulletin/MS01-020.asp

Cuando se ejecuta, el gusano crea el archivo INVICTUS.DLL, el cuál es usado para infectar los archivos ejecutables del sistema. También crea una unidad compartida C:.

El gusano utiliza el archivo INVICTUS.DLL para propagarse, siendo este archivo vital para su funcionamiento. Invictus.dll es detectado como W32.Invictus.dll por algunos antivirus (Norton).

El archivo es creado en la carpeta a la que apunta la variable del sistema %System%, por defecto C:\Windows\System\ o C:\WinNT\System32\, etc.:

C:\Windows\System\Invictus.dll

La función de INVICTUS.DLL es primero, infectar todos los archivos en formato PE (Portable Executable) de Windows.

También se crea este archivo (de 8192 bytes):

C:\Windows\System\XXX.exe

Donde las "XXX" representan tres caracteres al azar (XDF.exe, GKD.exe, etc.). Este archivo (comprimido) está seteado como oculto (+H), y es ejecutado apenas es creado.

Su función es llevar a cabo las acciones del virus, realizando las llamadas necesarias a la librería INVICTUS.DLL para ello.

El gusano también modifica el archivo SYSTEM.INI para poder autoejecutarse en cada reinicio de Windows. Para ello agrega esta línea bajo la etiqueta [boot]:

[boot]
shell=explorer.exe XXX.exe

Recuerde que las tres XXX son caracteres al azar.

El gusano recoge direcciones de correo electrónico, examinando las páginas blancas del ICQ.

Cuando envía el mensaje infectado, el archivo HH.exe (que es el virus), es copiado como adjunto, con el nombre BINLADEN_BRASIL.EXE, como ya vimos.

Otra de las acciones del gusano, es intentar robar las contraseñas de red, y crear una unidad local C: compartida. Para ello modifica la siguiente clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion
\Network\LanMan\BinLaden

"Flags"=dword:00000192
"Parm1enc"=hex:
"Parm2enc"=hex:
"Path"="C:\\"
"Remark"=""
"Type"=dword:00000000

El gusano también intenta deshabilitar el software antivirus instalado en la computadora atacada.

Basándose en un contador de tiempo que se inicia en la primera ejecución, el gusano muestra un mensaje relacionado con la actual situación de Afganistán.

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Network
LanMan
BinLaden

3. Pinche sobre la carpeta "BinLaden" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

6. Busque lo siguiente:

[boot]
shell=explorer.exe XXX.exe

Donde las tres XXX son caracteres al azar.

y déjelo así:

[boot]
shell=explorer.exe

7. Grabe los cambios y salga del bloc de notas

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.

Glosario:

Archivos PE (Portable Executable) - Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.

ICQ ("I Seek You", Te busco) - Programa que ofrece un servicio de mensajería en línea a través de Internet, permitiendo hacer saber a otras personas conocidas, que uno está conectado (online). A través de él se pueden intercambiar mensajes y archivos, conversar (chat), establecer conexiones de voz y video, etc.


Fuente: Symantec, Panda

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com