Detección agregada	19 ene 2007 22:23 GMT
Descripción agregada	05 feb 2007
Comportamiento	I-Worm
Plataforma	Win32

• Detalles técnicos
• Daños
• Instrucciones de eliminación

Es un virus-gusano que se propaga por Internet en los datos adjuntos de los mensajes de correo infectados. Los mensajes infectados se envían a todas las direcciones de correo electrónico encontradas en el ordenador.

El gusano es una aplicación para Windows (archivo PE EXE). El tamaño de los ficheros infectados puede variar significativamente. Está comprimido con UPX.

Instalación

Durante la instalación el gusano se copia a sí mismo, con el atributo del sistema "oculto" (hidden), en el catálogo del sistema de Windows bajo el nombre "alsys.exe":

%System%\alsys.exe

Después de lo cual el gusano crea las siguientes entradas en el registro del sistema:

es decir, cada vez que Windows se inicie, se ejecutará el archivo del gusano.

El gusano crea en su directorio de trabajo un archivo con un nombre elegido al azar. Kaspersky Anti-Virus detecta este archivo como Trojan-Proxy.Win32.Lager.dp.

Además, el gusano crea los siguientes ficheros en el directorio del sistema de Windows:

%System%\wincom32.ini
%System%\wincom32.sys

Asimismo, el gusano crea un identificador único "klllekkdkkd" para determinar su presencia en el sistema.

Igualmente, el gusano cambia las siguientes entradas del registro del sistema para bloquear "Firewall de conexion a Internet (ICF) / Conexion compartida a Internet (ICS)":

Propagación por correo electrónico

Los mensajes infectados se envían a todas las direcciones de correo electrónico encontradas en el ordenador.
Durante el envío de mensajes infectados el gusano trata de conectarse directamente a los servidores SMTP.

Características de los mensajes infectados

Ejemplos de mensajes infectados:

Asunto de la carta:

Se elige al azar de esta lista:

• 5 Reasons I Love You
• A Bouquet of Love
• A Day in Bed Coupon
• A Hug & Roses
• A Kiss for You
• A Kiss So Gentle
• A Little (sex) Card
• A Monkey Rose for You
• A Red Hot Kiss
• A Relaxing Coupon
• A Romantic Place
• A Song to You
• A Special Flower for You
• A Special Kiss
• A Sweet Love
• A Token of My Love
• A Weekend Getaway
• Against All Odds
• All For You
• All That Matters
• Angel of Love
• Awaiting Your Love
• Baby, I'll Be There
• Back Together
• Between Us
• Bewitching Moonlight
• Brand New Love
• Breakfast in Bed Coupon
• Bubble Bath Coupon
• Can't Wait to See You!
• Crazy way to say I Luv U
• Cuddle Me Please
• Cuddle Up
• Cyber Love
• Dancing With You
• Dinner Coupon
• Doing It for You
• Dream Date Coupon
• Dream Girl
• Emptiness Inside Me
• Eternity of Your Love
• Evening Romance
• Every Inch of Your Body
• Everyone Needs Someone
• Falling In Love with You
• Feeling Horny?
• Fields Of Love
• For Better of For Worse
• For You
• For You....My Love
• Forever and Ever
• Forever in Love
• From this day forward
• Full Heart
• Hand in Hand
• Hand in Hand
• He Blessed Our Lives
• Heart is Breaking
• Heart of Mine
• Hey Cutie
• Hold Me (distant love)
• Hold On
• How Much I Love You
• Hugging My Pillow
• I Always Knew
• I am Complete
• I Am Lost In You
• I Believe
• I Can't Function
• I Dream of you
• I Give to You
• I Love Thee
• I Love Thee
• I Love You Mower
• I Love You So
• I Love You Soo Much
• I Love You with All I Am
• I Still Love You
• I Think of You
• I Win with You
• I wish
• I Woof You
• I Would Do Anything
• I Would Give you Anything
• If I Could
• If I Knew
• I'll Be Your Man
• In Love
• In My Heart
• Inside My Heart
• Internet Love
• It's Your Move
• Just You
• Just You & Me
• Kiss Coupon
• Kisses, Hugs & Roses
• Last Night was Hot!
• Let's Get Frisky
• Live With Me
• Longing for You
• Love at First Sight
• Love Birds
• Love for Granted
• Love is in the Air
• Love Remains
• Love You Deeply
• Made for Each Other
• Magic of Flowers
• Massage Coupon
• Memories
• Miracle of Love
• Miracle of Love
• Moonlit Waterfall
• Most Beautiful Girl
• My Eye on You
• My Heart belongs to you
• My Heart is Thinking
• My Invitation
• My Love
• My Perfect Love
• Now and Forever
• Now I Know
• Old Together
• Only You
• Our Love
• Our Love Everyday
• Our Love is Free
• Our Love is Strong
• Our love is torn by miles
• Our Love Nest
• Our Love Will Last
• Our Two Hearts
• Our Wedding Day
• P.M.S
• Passionate Kiss
• Peek-A-Boo
• Pockets of Love
• Puppy Love
• Red Rose
• Romantic Picnic Coupon
• Rose for my Love
• Safe and Sound
• Safe With You
• Search for One
• Sending Kiss
• Sending You My Love
• Sending You My Love
• Showers Of Love
• So in Love
• So in Love
• So Unique
• Solitary Beauty
• Someone at Last
• Soul Mates
• Soul Partners
• Steamy Dream
• Steamy Sex Coupon
• Summer Love
• Take My Hand
• Teddy Bear & Roses
• Tender Whispers
• Thanks...Love
• That Special Love
• The Candle's Light
• The Dance of Love
• The Kiss
• The Letter
• The Long Haul
• The Love Bugs
• The Miracle of Love
• The Mood for Love
• The Mood for Love
• The Sweet Taste of Love
• The Time for Love
• Thinking about you
• Thinking of You
• This Day Forward
• This Feeling
• Til the End of Time
• Till Morning's Light
• Till Morninig's Light
• Times Are Hard, I Luv U
• To New Spouse
• Together Again
• Together You and I
• Touched by Love
• True Love
• Trunk Full Of Love
• Twice Blest
• Twilight Paradise
• Two of a Kind
• Unique Love
• Unmatchable Beauty
• Until the Day
• Vacation Love
• Waiting for You
• Want to Meet?
• Want You to Know
• We Are Different
• We Have Walked
• We're a Perfect Fit
• When I look at you
• When I'm With You
• When I'm With You
• When You Fall in Love
• Why I Love You
• Wild Nights--Wild Nights
• Will You?
• Window of Beauty
• Wine and Roses
• Wish I Could Tell You
• Wish Upon a Star
• With All My Love
• With All of My Heart
• With This Ring
• Without Your Love
• Won't you dance with me
• Words I Write
• Worthy of You
• Wrapped in Your Arms
• Wrapped Up
• You + Me
• You and I
• You and I Forever
• You Are My Guiding Star
• You are out of this world
• You Asked Me Why
• You Brighten My Day
• You Lucky Duck!
• You Rock Me!
• You Were Worth the Wait
• Your Love Has Opened
• Your Silly Smile
• You're My Hero
• You're so Far Away
• You're Soo kissable
• You're the One

Nombre del archivo adjunto:

Nombre del archivo adjunto:

• flash postcard.exe
• Flash Postcard.exe
• Greeting Card.exe
• greeting card.exe
• Greeting Postcard.exe
• greeting postcard.exe
• Postcard.exe
• postcard.exe

El gusano trata de deshabilitar en el sistema los diferentes procesos que contengan los siguientes textos:

• regedit.exe
• anti
• avg
• avp
• blackice
• firewall
• f-pro
• hijack
• lockdown
• mcafee
• msconfig
• nav
• nod32
• rav
• reged
• spybot
• taskmgr
• troja
• viru
• vsmon
• zonea

En caso de que el gusano encuentre en el ordenador archivos con las extensiones .exe y .scr, se copia a sí mismo a los directorios donde los haya encontrado, bajo un nombre elegido al azar y el atributo de "oculto" (hidden): <nombre al azar>.t. Después, el gusano infecta el archivo encontrado, aumentado su código y cambiando el punto de entrada de tal manera que al ejecutarse el archivo ejecutable, se ejecute en primer lugar la copia del gusano.

1. Abrir el Administrador de Tareas y terminar el proceso original del gusano.
2. Eliminar el archivo original de la puerta trasera (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3. Eliminar los siguientes archivos:

   %System%\alsys.exe
   %System%\wincom32.ini
   %System%\wincom32.sys

4. Eliminar todas las copias del gusano.
5. Eliminar las siguientes entradas en el registro del sistema:
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Agent" = "%System%\alsys.exe…"
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "Agent" = "%System%\alsys.exe…"
6. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).