De: E-card <e-card@ 123Greetings.com>
Asunto: I love you from An Admirer

Texto:

TO: My sweet hart,

An Admirer [ sweet_dreams@yahoo.com ] has sent
you an e-card from 123Greetings.com.

123Greetings.com is all about touching lives,
bridging distances, healing rifts and building
bonds. We have a gallery of e-cards for almost 
every occasion of life. Express yourself to your
friends and family by sending Free e-cards from
our site with your choice of colors, words and
music.

Your e-card will be available with us for the next
30 days. If you wish to keep the e-card longer,
you may save it on your computer or take a print.

To view your e-card, choose from any of the
following options:

--------
OPTION 1
--------

Click on the following Internet address or
copy & paste it into your browser's address box.

http://www.123greetings.com/view/BS11109150938172

--------
OPTION 2
--------

Copy & paste the e-card number in the "View Your
Card" box at http://www.123greetings.com


Your e-card number is
BS11109150938172

If you need help in viewing your card or any other
assistance, please visit our Help / FAQ section
located at http://www.123greetings.com/help/

If you need further help, feel free to write to us
at support@123greetings.com

Best wishes,

Postmaster,
123Greetings.com

*If you would like to send someone an e-card, you
can do so at http://www.123greetings.com"

El enlace apunta a una página en el sitio www.idownline.com. Un archivo INDEX.HTML de dicho sitio, contiene un código de JavaScript, con el cuál se abre otra página en una ventana oculta por medio de un IFRAME. La página está localizada en "adversting.co.uk".

A su vez, esta página apunta a otros dos archivos que contienen el código malicioso.

Las páginas se llaman "p", "spy", "in" y "s". La página "spy" registra la cantidad de visitas al sitio que la hospeda, y la página "in" contiene una rutina en JavaScript con instrucciones para descargar, copiar y ejecutar el archivo DIVX.EXE desde la página web.

Esta página utiliza un exploit conocido (Adodb.Stream), a los efectos de sobrescribir el reproductor Windows Media Player:

c:\program files\windows media player\wmplayer.exe

La página "s" contiene un código en Visual Basic Script que utiliza el mismo exploit para sobrescribir el bloc de notas (notepad.exe), con una variante del propio troyano. El mismo script ejecuta al troyano. El archivo NOTEPAD.EXE, es buscado en las siguientes ubicaciones (este código está escrito literalmente en el gusano):

c:\winnt\notepad.exe
c:\windows\notepad.exe
c:\winnt\system32\notepad.exe
c:\windows\system32\notepad.exe

Cuando el gusano se ejecuta, el mismo se copia en la carpeta Windows o Windows\System:

c:\windows\divx.exe
c:\windows\system\divx.exe

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", etc.).

Luego, queda en memoria, como un servicio, escuchando en un puerto seleccionado al azar (superior al 1024, por defecto 6000), a la espera de una conexión con un usuario remoto.

A esa dirección envía información del equipo infectado. La información incluye entre otras cosas, el sistema operativo instalado, un número de identificación del usuario, hora del equipo infectado.

Crea además, una de las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
DivX Updater = divx.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DivX Updater = divx.exe

También crea una de las siguientes entradas:

HKCU\Software\DivX
LastUpd = [un valor hexadecimal]
UniqueID = [un valor hexadecimal]

HKLM\Software\DivX 
LastUpd = [un valor hexadecimal]
UniqueID = [un valor hexadecimal]

El troyano posee la capacidad de auto actualizarse en forma periódica, a través de Internet. Para ello se conecta a la siguiente dirección Web, desde donde descarga otras variantes:

69.56.204.206/cgi-bin/get.cgi

Existe también un archivo llamado "ouch.php" en uno de los sitios web, que contiene el código para copiar el siguiente archivo y luego ejecutarlo:

divxupdater.exe

Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\divx.exe
c:\windows\system\divx.exe
c:\windows\divxupdater.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DivX Updater

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DivX Updater

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\DivX

7. Pinche en la carpeta "DivX" y bórrela.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

22/nov/03 - Alias: VBS.Naldem



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com