Éste
es una variante del gusano Lovgate.a. Además de transmitirse
por computadoras conectadas a una red local, se transmite por
correo electrónico usando su propio motor SMTP y comandos
MAPI. En los mensajes simula ser una respuesta a uno enviado
previamente, al que el gusano se une como un archivo adjunto
con uno de los siguientes nombres:
fun.exe
images.exe
news_doc.exe
s3msong.exe
pics.exe
billgt.exe
midsong.exe
PsPGame.exe
hamster.exe
setup.exe
tamagotxi.exe
joke.exe
docs.exe
searchurl.exe
card.exe
pics.exe
También actúa como puerta trasera puerta trasera,
abre el puerto 10168 y envía un mensaje a un usuario
remoto, que puede así obtener datos de la computadora
y ejecutar programas en la misma.
En los sistemas Windows 95 y 98, el gusano oculta su presencia,
registrándose como un servicio en proceso.
Cómo
combatirlo
Symantec ha puesto a disposición del público
una herramienta para remover el Lovgate. Esta herramienta
se puede descargar desde la página correspondiente
en Symantec. Si se desea remover manualmente, se debe eliminar
las entradas en el Registro de Windows y en el archivo Win.ini.
Se debe actuar con gran cautela, pues una entrada errónea
puede afectar el funcionamiento correcto de Windows.
Para eliminar la entrada del Registro de Windows haga clic
en el botón de Inicio (Start), elija Ejecutar (Run)
y en la ventana que se abre escriba Regedit. Oprima Aceptar.
Ésto abrirá el editor del registro de Windows.
En el Editor de Registro, abra las carpeta y subcarpetas en
el panel de la izquierda, siguiendo esta ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Marque la carpeta Run para ver su contenido en el panel de
la derecha. En este panel elimine las entradas siguientes:
syshelp
WinGate initialize
Module Call initialize
Otra vez en el panel de la izquierda abra las carpetas siguiendo
esta ruta:
HKEY_CLASS_ROOT\txtfile\shell\open\command.
Marque la carpeta Command y en el panel de la derecha cambie
el valor a notepad.exe %1
En el panel de la izquierda abra las carpeta según
esta ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows.
Marque la carpeta Windows y en el panel de la derecha elimine
el valor Run.
En el panel de la izquierda, abra las carpetas HKEY_LOCAL_MACHINE\Software.
En Software elimine la entrada KittyXP.sql.
En la ruta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
elimine la entrada dll_reg.
Cierre el Editor de Registro.
Si se usa Windows 95, 98 o Me, se debe eliminar el valor añadido
por el gusano en el archivo Win.ini.
Nota: En Windows Me se puede haber creado un respaldo del
archivo Win.ini. Es recomendable eliminar este respaldo antes
de realizar la edición del archivo. Para eliminarlo
se busca con el Explorador de Windows en la carpeta C.\Windows\Recent
folder. Se selecciona esta carpeta para ver su contenido,
se busca el archivo Win.ini y se elimina. Al terminar el procedimiento
siguiente se creará automáticamente un nuevo
respaldo.
Haga clic en el botón de inicio, elija Ejecutar (Run)
en el menú, y en la ventana de diálogo escriba
lo siguiente:
edit c:\windows\win.ini. Oprima Aceptar. Ésto abrirá
una ventana de DOS para editar el archivo Win.ini. Si Windows
está instalado en otro directorio, se debe escribir
la dirección correspondiente en la ventana de ejecución.
En la sección [windows] del archivo, busque una entrada
semejante a la siguiente:
run=rpcsrv.exe.
Si esta entrada existe, seleccione únicamente el texto,
y oprima la tecla Suprimir (Delete).
Haga clic en File y elija Save. Luego haga clic nuevamente
en File y elija Exit.
Tras finalizar los procedimientos anteriores, reinicie la
computadora y revísela con uno o más programas
de antivirus actualizados.
(Nota:
Los usuarios de Windows ME y XP deben seguir estas Instrucciones
Adicionales).
Los
virus más difundidos
Éstos
son los virus más difundidos en el mundo en este momento,
según datos de McAffee:
1.
Redlof
2. Loveletter
3. Lovgate.f
4. Pate.b
5. Nimda.eml
6. Klez.h
7. Pate
8. Elkern.cav.c
9. FunLove.gen
10. Exploit-ByteVerify
.::MAILING::.