Categoría: 2 (bajo riesgo)
Tipo: Gusano
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Medio de contagio: Correo infectado.
Fecha de descubrimiento: 31 de enero de 2005
Acciones que toma:- Crea las siguientes copias de si mismo:
- C:\Hello.vbs
- %System%\VBS_Update-0548656X.vbs
- %Windir%\WinFIX1.0.vbs
- %Windir%\WinUpdater5.0.vbs
- C:\ICQNET.vbs
- %System%\G0mez.vbs
- Añade los siguientes valores:
- "VBS_AUTO_UPDATE" = "%System%\VBS_Update-0548656X.vbs"
- "FIX" = "%Windir%\WinFIX1.0.vbs"
- "UPDATE" = "%Windir%\WinUpdater5.0.vbs"
- "ICQ" = "C:\ICQNET.vbs"
- "G0mez" = "%System%\G0mez.vbs"
en las siguiente claves del registro, de manera que se ejecuta cada vez que el sistema se inicia
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
- Añade los siguientes valores:
- "NoDrives" = "0x03ffffff"
- "NoRun" = "0x00000001"
En las siguiente claves del registro.- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Policies\Explorer
- Añade el siguiente valor:
- "Disabled" = "0x00000001"
En las siguiente claves del registro.- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Policies\WinOldApp
- Puede generar ventanas emergentes con las siguientes características
- Título: This is the w0rk 0f g0mez
- Mensaje: Y0ur c0mputer has been infected by G0mez!
- Envía una copia de si mismo a todas las direcciones que encuentre en la libreta de direcciones de windows. El mensaje tiene las siguientes características:
- Asunto: Re: Hello
- Cuerpo del mensaje: Hey There :-)
- Archivo adjunto: Hello.vbs
- Por cada dirección que utiliza, añade este valor en el registro
- [dirección de correo] = "0x00000001"
En esta clave del registro- HKEY_CURRENT_USER\Software\Microsoft\WAB
De manera que evita enviar el correo más de una vez al mismo destinatario. - Intenta extenderse usando las redes de intercambio de archivos simulando estos nombres:
- %ProgramFiles%\KMD\My Shared Folder\Porno-Pic.Jpg.vbs
- %ProgramFiles%\KMD\My Shared Folder\Cool-Games.Exe.vbs
- %ProgramFiles%\KMD\My Shared Folder\IN-DA-CLUB.Mp3.vbs
- %ProgramFiles%\KMD\My Shared Folder\SecretFBIDocs.doc.vbs
- %ProgramFiles%\KMD\My Shared Folder\HowToRipDVDs.txt.vbs
- %Program Files%\KMD\My Shared Folder\PORNO.mpg.vbs
- %Program Files%\KMD\My Shared Folder\COOL-GAMES.exe.vbs
- %Program Files%\KaZaA Lite\My Shared Folder\Porno-Pic.Jpg.vbs
- %Program Files%\KaZaA Lite\My Shared Folder\Cool-Games.Exe.vbs
- %Program Files%\KaZaA Lite\My Shared Folder\IN-DA-CLUB.Mp3.vbs
- %Program Files%\KaZaA Lite\My Shared Folder\SecretFBIDocs.doc.vbs
- %Program Files%\KaZaA Lite\My Shared Folder\HowToRipDVDs.txt.vbs
- %Program Files%\KaZaA Lite\My Shared Folder\PORNO.mpg.vbs
- %Program Files%\KaZaA Lite\My Shared Folder\COOL-GAMES.exe.vbs
- %Program Files%\Morpheus\My Shared Folder\Porno-Pic.Jpg.vbs
- %Program Files%\Morpheus\My Shared Folder\Cool-Games.Exe.vbs
- %Program Files%\Morpheus\My Shared Folder\IN-DA-CLUB.Mp3.vbs
- %Program Files%\Morpheus\My Shared Folder\SecretFBIDocs.doc.vbs
- %Program Files%\Morpheus\My Shared Folder\HowToRipDVDs.txt.vbs
- %Program Files%\Morpheus\My Shared Folder\PORNO.mpg.vbs
- %Program Files%\Morpheus\My Shared Folder\COOL-GAMES.exe.vbs
- %Program Files%\BearShare\Shared\Porno-Pic.Jpg.vbs
- %Program Files%\BearShare\Shared\Cool-Games.Exe.vbs
- %Program Files%\BearShare\Shared\IN-DA-CLUB.Mp3.vbs
- %Program Files%\BearShare\Shared\SecretFBIDocs.doc.vbs
- %Program Files%\BearShare\Shared\HowToRipDVDs.txt.vbs
- %Program Files%\BearShare\Shared\PORNO.mpg.vbs
- %Program Files%\BearShare\Shared\COOL-GAMES.exe.vbs
- %Program Files%\Edonkey2000\Incoming\Porno-Pic.Jpg.vbs
- %Program Files%\Edonkey2000\Incoming\Cool-Games.Exe.vbs
- %Program Files%\Edonkey2000\Incoming\IN-DA-CLUB.Mp3.vbs
- %Program Files%\Edonkey2000\Incoming\SecretFBIDocs.doc.vbs
- %Program Files%\Edonkey2000\Incoming\HowToRipDVDs.txt.vbs
- %Program Files%\Edonkey2000\Incoming\PORNO.mpg.vbs
- %Program Files%\Edonkey2000\Incoming\COOL-GAMES.exe.vbs
- Define el siguiente valor
- "DisableRegistryTools" = "0x00000001"
En la siguiente clave del registro a fin de evitar el uso del regedit y el regedit32- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
- Puede crear este archivo: C:\WARNING.txt con las siguientes líneas
You have been infected by G0mez!
Go to any AV sites and update you AV software !!!
- - Best Regards: G0mez Author - Puede presentar la siguiente ventana y a continuación apagar la computadora:
Shutdown.vbs, Version 1.00
VBS.G0mez Is here :-p
Usage: CSCRIPT SHUTDOWN.VBS [ nombre de la computadora ]
!!!"!!!" SHUTDOWN!"
(without leading backslashes).
Default is "." (the local computer).
G0mez will now shutdown the computer!
:-)
hehehe
G0mez 0wnz U :-) - Si la computadora no se apaga, buscará en todas las unidades que encuentre archivos con las siguientes extensiones
- * .dll
- * .vbs
- * .vbe
- * .exe
- * .wsh
Si los encuentra, los borrará y creará una copia de si mismo usando el nombredel archivo original añadiendo la extensión .vbs como segunda terminación del archivo
Eliminación: Manual:- Deshabilitar la recuperación del sistema (Windows Xp y Millenium)
- Actualizar las definiciones del antivirus
- Reiniciar la computadora en modo seguro o modo VGA
- Ejecutar un análisis completo y borrar todos los archivos infectados con «VBS.Gormlez@mm»
- Reactivar el acceso al registro
- Borrar las entradas mencionadas del el registro al igual que los archivos mencionados.
Para reactivar el acceso al registro- Abrir el Block de notas y en el escribir las siguientes líneas (pueden copiarlas desde aquí):
Código:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
- Grabar el archivo con este nombre, «restaurar_registro.reg». Es importante que la extensión del archivo sea .reg y no .txt. El archivo debe estar grabado en un sitio fácil de recordar, así que por ejemplo c:\ restaurar_registro.reg es perfecto.
- Ir a Inicio > ejecutar y allí escribir lo siguiente: regedit -s c:\restaurar_registro.reg
Para reparar las entradas del registro afectadas:- Ir a Inicio > ejecutar escribir regedit, y presionar aceptar
- Ir a esta subclave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run y en ella borrar estos valores del panel derecho
- "VBS_AUTO_UPDATE" = "%System%\VBS_Update-0548656X.vbs"
- "FIX" = "%Windir%\WinFIX1.0.vbs"
- "UPDATE" = "%Windir%\WinUpdater5.0.vbs"
- "ICQ" = "C:\ICQNET.vbs"
- "G0mez" = "%System%\G0mez.vbs"
- Ir a esta subclave: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Policies\Explorer y en ella borrar estos valores del panel derecho- "NoDrives" = "0x03ffffff"
- "NoRun" = "0x00000001"
- Ir a esta subclave: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Policies\WinOldApp y en ella borrar estos valores del panel derecho- "Disabled" = "0x00000001"
- Ir a esta subclave: HHKEY_CURRENT_USER\Software\Microsoft\WAB y borrarla
Comentario:
No es un virus especialmente dañino para quien lo tiene, pero si incómodo, aparte de que puede gastar seriamente la línea de conexión a internet que tengamos, molestará a quienes conzcamos.
Pero su mayor acción, es saturar servicios de correo y servidores en cantidad al ser un gusano que envía miles o millones de correos.
Páginas de referencia: Inglés 
04/02/05, 07:47:44
[Virus – Gusano] - VBS.Gormlez@mm 
