.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml
Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:
| .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. |
@gmetref |
abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. |
emsisoft ewido. freeav free-av ftp. gold-certs host. iana- iana@ icrosoft. |
info@ ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- |
ntp. ntp@ reciver@ secure smtp- somebody someone spybot sql. subscribe support |
t-dialin test@ time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ |
winrar
|
El remitente siempre es falso y es seleccionado al azar de la lista de direcciones
a las que el gusano se envía.
El gusano envía los mensajes en alemán, cuando la dirección
del destinatario tiene una de las siguientes extensiones:
.at
.ch
.de
.li
También los envía en alemán si existe la cadena GMX en
el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía
en inglés.
Los mensajes que utiliza para enviarse tienen las siguientes características:
Mensajes en inglés:
De: [uno de los siguientes]
Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster
Asunto: [uno de los siguientes]
– Re:
– Re:mailing error
– Re:Registration Confirmation
– Re:Your email was blocked
– Re:Your Password
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
ok ok ok,,,,, here is it
Ejemplo 2:
Account and Password Information are attached!
Visit: http:/ /www.[dominio]
Ejemplo 3:
This is an automatically generated E-Mail Delivery
Status Notification.
Mail-Header, Mail-Body and Error Description are
attached
Se agrega como pie del mensaje, uno de los siguientes textos:
– Attachment-Scanner: Status OK
– AntiVirus: No Virus found
– Server-AntiVirus: No Virus (Clean)
– http:/ / www.[dominio]
Datos adjuntos: [uno de los siguientes]
account_info.zip
account_info-text.zip
error-mail_info.zip
mail_info.zip
our_secret.zip
Mensaje en alemán:
Asunto: [uno de los siguientes]
– Glueckwunsch: Ihr WM Ticket
– Ich bin»s, was zum lachen 😉
– Ihr Passwort
– Ihre E-Mail wurde verweigert
– Mail-Fehler!
– WM Ticket Verlosung
– WM-Ticket-Auslosung
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
Passwort und Benutzer-Informationen befinden sich in
der beigefuegten Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp
Ejemplo 2:
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[dominio]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die
vollstaendige E-Mail incl. Daten gezippt & angehaengt
werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Ejemplo 3:
Nun sieh dir das mal an
Was ein Ferkel ….
Ejemplo 4:
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte
dem Anhang.
St. Rainer Gellhaus
— Pressesprecher Jens Grittner und Gerd Graus
— FIFA Fussball-Weltmeisterschaft 2006
— Organisationskomitee Deutschland
— Tel. 069 / 2006 – 2600
— Jens.Grittner@ok2006.de
— Gerd.Graus@ok2006.de
Se agrega como pie del mensaje, uno de los siguientes textos:
– Mail-Scanner: Es wurde kein Virus festgestellt
– AntiVirus: Kein Virus gefunden
– AntiVirus-System: Kein Virus erkannt
– WebSite: http:/ /www.[dominio]
Datos adjuntos:
_PassWort-Info.zip
autoemail-text.zip
Fifa_Info-Text.zip
LOL.zip
okTicket-info.zip
El archivo .ZIP contiene el ejecutable del gusano, con doble extensión
separadas con espacios.
Ejemplos:
Winzipped-Text_Data.txt .pif
Winzipped-Text_Data.txt .exe
Este gusano está programado en Visual Basic 6.0 y comprimido con UPX.
* INSTRUCCIONES PARA ELIMINARLO
Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta
gratuita para desinfectar ordenadores afectados por este gusano sin necesidad
de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober
Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados
antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro
del sistema.
5. Elimine bajo la columna «Nombre», las entradas «_WinStart»
y «WinStart», en las siguientes claves del registro:
HKCUSoftwareMicrosoftWindows
CurrentVersionRun
HKLMSoftwareMicrosoftWindows
CurrentVersionRun
6. Cierre el editor del Registro del sistema.
7. Busque y elimine los siguientes archivos:
c:windowsConnection WizardStatuscsrss.exe
c:windowsConnection WizardStatuspacked1.sbr
c:windowsConnection WizardStatuspacked2.sbr
c:windowsConnection WizardStatuspacked3.sbr
c:windowsConnection WizardStatussacri1.ggg
c:windowsConnection WizardStatusservices.exe
c:windowsConnection WizardStatussmss.exe
c:windowssystem32adcmmmmq.hjg
c:windowssystem32langeinf.lin
c:windowssystem32nonrunso.ber
c:windowssystem32seppelmx.smx
c:windowssystem32xcvfpokd.tqa
8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
presencia del gusano.
