McAfee > Theat Center > Virus Detail Page

Overview

This is a virus detection. Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to other systems, which then propagate the virus further. While many viruses contain a destructive payload, it's quite common for viruses to do nothing more than spread from one system to another.

Characteristics

This worm propagates via emailing itself to recipients listed in the Windows Address Book (WAB) on infected machines. It contains its own SMTP engine to construct outgoing messages, attaching itself within a ZIP file (similarly to previous W32/Duksten@MM variants).

The worm also attempts to connect to a specific channel on a remote IRC server.

Mail Propagation

The worm constructs outgoing messages using its own SMTP engine. It queries the system Registry for the system default SMTP server, which it then uses for mailing.

Messages use multiple subject lines, message bodies and attachment filenames (in Spanish):

Subject line:

• ...solo Futbol?
• 21 formas para dejar a tu chico
• A veces llamamos carnaza televisiva pero son gente normal
• Amor y Odio a veces tan cercanos
• Ana Rosa Quintana escribio un libro que jamas leyo...o era al reves?
• BOMBAZO!!! MicroSoft compra Konami
• BitDefender un WebSite diferente para gente diferente
• Cuantas estrellas tiene el HoteL GlamoUr?
• E L I G E M E
• El Chico perfecto, amante de dia ...
• El Diario de Patricia podria ser suspendido de la programacion!
• El dia del YacuZi de Hornillos hubo algo mas que no salio en Tv
• El dice si pero ella dice NOOOOOOOOOOOOOO
• El lado bueno de SADAM HUSSEIN
• El odio de Bush no es a quien pensamos...
• Emma Garcia es la revelacion de las tardes en T5
• Emma TamarGo la mujer que nos eligio a todos
• En Tv las audiencias justifican el contenido...
• Encarni,Tamara y Dimio ... al HoteL...GLAMOUR!
• Es Sadam un tirano,un Robin Hood o un Hittler?
• Es cierto que me pasaste tu esto?
• Fotos ineditas de los satelites sobre armamento de IraK
• Hombre o MuJer?
• Hubo tongo en la isla de los famosos?
• Humanidad entera se revela contra el emperador Bush
• Is Paulina a Borde Girl or a BORDER Girl?
• Joyas literarias en miniatura...un gran marketing, pero este es mejor
• LISTAS CORAZON ROSA Maria Jimenez vs Pepe Sancho...un montaje?
• La chica ideal, amante en el lecho,ama de casa en el hogar y...por la noche?
• Las camaras ocultas que graban a otras camaras ocultas
• Las fotos de Malena que Rodriguez Menendez nunca publicara
• Las manazas de Zidane
• Lo de Gran Hermano toma valores de locura
• Lo que Javier Sarda nunca pondra en Cronicas
• Lo que no se vio en el anuncio de Ronaldo
• Lo que no te podras llevar nunca de un Hiper
• Mairena al hotel Glamour!
• Mares que soportan vertidos...
• Marta Lopez,Hornillos,David Flores...buen trieto
• Metal Gear Solid 3 no saldra para PS2!!!!
• Mus o Brisca?
• NOTICION...el Doom3 saldra para PS2 en el 2004
• Nunca creeria tal cosa...pero esto es TOMBOLA!
• Oculta algo Ana Rosa Quintana???
• Operacion Triunfo o Gran Hermano
• PARCHE adjunto para la vulnerabilidad iFraXPe del OutLook
• Pocholo no solo le tiro un vaso de agua a Karmele...
• Portatiles a un precio de ganga
• Prefieres la delantera del Madrid o la de esta chicarrona?
• Que hace a Patricia una mujer tan diferente del resto?
• Que harias si pudieses volver a empezar?
• Quienes dijeron que el Barsa estaba acabado?
• Re: de todos modos el C.V. no esta completo
• Re: por favor reenviame el EMail que no me llego
• SALSA ROSA:Alfonso Santisteban o Marisa Medina,quien miente?
• Sarda,CoTo MaTaMoRos y CIA no paran
• Si en Hotel Glamour sucediera esto...
• Si esto es cierto entonces mejor irnos del pais
• Si tienes WindowsXP cuidado con la actualizacion automatica!!!
• Sigue el PrestiGe soltando petroleo?
• Tongo en Operacion Triunfo?
• Tu si puedes tocar el piano
• Venturas y DesVenturas de un Enrique Del PoZo angustiado
• Y por fin empezo el HoTeL GlaMoUR y como no...POLEMICA!
• Yo no estuve en DinoPolis pero si en PortAventura
• Yola, todo un soldado de ... fortuna
• conoces a GigaBYte...una chica BelGa...
• cosas de Coto...
• cuantos programas llevan en Cronicas Marcianas?
• de un amigo
• el NO A LA GUERRA al reves de Amaral...?
• el VERDADERO asunto del jabon Nenuco al descubierto
• el beso de Pocholo BordiU a Karmele trae...colaaaa
• el lado mas tenebroso del presidente Irakie
• el motivo de que el Risitas y PoZZi no fueran con Pocholo al HoTel
• este chico llegara lejos...con este pedazo de...
• existen formas y formas pero esta no me gusta
• fotos del nuevo proyecto de la Zona0
• la metio Bertin en su sitio al conocer a Sonia?
• las fotos de Rocio Madrid que nunca se publicaron
• los tertulianos de Cronicas necesitan respirar hondo?
• nVidia es superada de nuevo por ATI con el RV450
• ni el mismisimo Ronaldo puede con esto
• no te creas todo lo que te dicen
• nueva version mas efectiva del mitico PandActiveScan
• por que A3tv suspendio La Sonrisa del Pelicano y no El Diario de Patricia?
• por que la peseta sigue venciendo al euro?
• primero fue Nenuco ahora le toca el turno a...
• quien sera el proximo en salir en la foto?
• te reenvio la foto para que veas que esta trucada!!!
• un interesante estudio de los PettiSuiss
• una nueva crisis en el Barcelona FC ?
• y acerca de la Coca-Cola...es la Coca...CoKa, o un gran fraude
• Algunas cosas no necesitan comentarios

Message Body:

• ah! y no creas que tengo sed de Amor...
• ah! no te olvides de visitar nuestra WEB
• aumenta esta base de datos y colabora!
• casi sois mil amigos...y lo celebro asi
• cuantos mas lo sepamos mejorrrr!!!!
• de Laura Stevz para esta base de datos
• de un amigo para mas amigos
• de un amigo para un amigo
• de un enemigo para un enemigo
• di no al spam, no a la guerra,no al PP
• espero que te guste, si no es asi dimelo
• este primer envio es gratis,no temas
• esto no es solo producto de la ilusion
• mensajes entre grupos de jovenes
• ni si ni no si no todo lo contrario
• no te olvides de pasarme los canticos
• puedes recoger mas informacion en yax.com
• recuerda pasar esto a un amigo u enemigo...
• recuerda que no todo el EMail es Spam
• reenvialo a todos los amigos de la guerra
• sacado de www.masqueocio.net
• si a la musica, no a la guerra
• si el adjunto esta defectuoso reenviamelo
• si tienes algo interesante PASAMELO!!!
• si todo lo que recibes es tan bueno,,,
• sintonizanos ahora en 6.145MHz a las 22h
• spam SI guerra NO
• todo esto y mucho mas en coderz.net
• todos los envios que hacemos estan limpios
• usa el ActiveScan de Panda por si acaso
• visitanos en www.quefuerte.com
• www.tocamelos.net la pagina mas dinamica!
• y di NOOOOOOOO a la guerra
• y recuerda que en LinuXWorld te esperamos
• estos envios no vulneran la LSCI ni la SGAE

Attachment:

A 22,648 byte ZIP file %filename%.ZIP, where %filename% is selected from:

• AMANECE
• AMARALX
• ANAMRFC
• ANTRA_X
• ARAMISF
• AZNAROF
• BERTINS
• BORISXX
• BUSTMAN
• CAMARAX
• CARDNAS
• CARRSCO
• CHENOAX
• CLINTON
• COCACLA
• COCAINA
• CONFDNC
• COTOMTR
• CRONICS
• DBISBAL
• DRILLER
• EDELPOZ
• EMMACIA
• ENVIDIA
• FABIERT
• FLAVIOC
• FOTOGRF
• GABLNDO
• GALINDO
• GORDITA
• GRGBUSH
• GRHERMN
• HTLGLMR
• HUSSEIN
• INAUDIT
• JENIFER
• JNFROPE
• JNLOPEZ
• JOANTEN
• JRGE_GH
• JVSARDA
• KANALLA
• KARMELE
• KARTMAN
• KIKO_GH
• K_I_K_O
• LAFLACA
• LERENDA
• LOMASXX
• LOREENA
• LUSOLMO
• MARISAS
• MATAMRS
• MAXIMOP
• MISILES
• MONDRIZ
• MTERELU
• NE_NUCO
• NOABRIR
• OZORESS
• PEPSICL
• PNE_GRD
• PRADERA
• PRSTIGE
• QMASTDA
• RITALIN
• ROCIOCM
• RONALDO
• ROSALPZ
• SA_DAM_
• SA__DAM
• SHOWFLO
• SIESTAS
• SONIAGH
• SONIAGH
• SPIDRMN
• ST_PARK
• SXLIDAD
• TEMPRAN
• TENORIO
• TOMBOLA
• TOREROS
• TXIQUIX
• URQIOLA
• VENTAS2
• ZAPATER
• ZIDANNE
• _AINOA_
• _B_E_T_
• __ANIA_
• OPTUBMY

Symptoms

Existence of the Registry key and files detailed in the "Method of Infection" section.

Method of Infection

This worm propagates via emailing itself to recipients listed in the Windows Address Book (WAB).

Installation on Victim Machine

When the worm is executed on the victim machine, it copies itself onto the victim machine (%WinDir% and %SysDir%), and sets Registry hooks to run the file at system startup:

(where %filename% is the filename of the worm executed on the victim machine. The latter two keys were only observed to be added on NT-based systems in testing.)

The worm creates a ZIP containing a copy of itself (using one of the filenames listed in attachment names above) as:

A base-64 encoded copy of the ZIP file is created as well (this is used in mail propagation):

(where %SysDir% represents the Windows system directory, eg. C:\WINNT\SYSTEM32)

The worm copies itself to the Windows start menu, using one of the following enticing filenames:

• Anti-Virus ActiveScan.exe
• Trucos de Windows.exe
• Norton Updates.exe

The worm also copies itself to the "My Documents" folder using the following filenames (with a .EXE extension):

• MicroSoft
• LoMasDuro
• Ferrari_F50
• Mirame!
• TvInteligente
• Tatiana_Veronica
• BradPitt Home Page
• pagina oficial de GeorgeClooneY
• U52
• B30
• MatriX2 Trailers
• Desnudos gratis
• ConeJitas!!!
• Pagina Web de Boris
• PlayStation3
• Cosas Indiscretas
• MandraGora
• WEB del Partido Popular
• Meneito
• PlayBoY
• pagina WEB Camela
• Cronicas Marcianas On-Line
• Real Madrid en internet
• Barcelona CF OnLine
• Irak in War!
• Tutoriales de Programacion
• Hotel Glamour en la red
• Foros Hotel Glamour
• Erotismo en la Red
• Pamela Anderson unoficial page
• fotos de famosos
• Camaras ocultas
• Marca online
• MP3-DivX-Fotos GRATIS!!!
• la WEB de los chistes
• el diario AS en internet
• El Mundo del siglo XXI
• Mariah CareY fans
• Eminem
• In-fraganti
• Azafata

Also a copy of the worm was written to the desktop as C.EXE.

The following Registry key is added by the worm, under which certain data is stored (e.g. email address of last mail recipient):

Removal

All Users:
Use specified engine and DAT files for detection.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the current engine and the specified DATs (or higher). Older engines may not be able to remove all registry keys created by this threat.

Additional Windows ME/XP removal considerations

Variants

Variants

N/A

All Information

Overview -

This is a virus detection. Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to other systems, which then propagate the virus further. While many viruses contain a destructive payload, it's quite common for viruses to do nothing more than spread from one system to another.

Characteristics

Characteristics -

This worm propagates via emailing itself to recipients listed in the Windows Address Book (WAB) on infected machines. It contains its own SMTP engine to construct outgoing messages, attaching itself within a ZIP file (similarly to previous W32/Duksten@MM variants).

The worm also attempts to connect to a specific channel on a remote IRC server.

Mail Propagation

The worm constructs outgoing messages using its own SMTP engine. It queries the system Registry for the system default SMTP server, which it then uses for mailing.

Messages use multiple subject lines, message bodies and attachment filenames (in Spanish):

Subject line:

• ...solo Futbol?
• 21 formas para dejar a tu chico
• A veces llamamos carnaza televisiva pero son gente normal
• Amor y Odio a veces tan cercanos
• Ana Rosa Quintana escribio un libro que jamas leyo...o era al reves?
• BOMBAZO!!! MicroSoft compra Konami
• BitDefender un WebSite diferente para gente diferente
• Cuantas estrellas tiene el HoteL GlamoUr?
• E L I G E M E
• El Chico perfecto, amante de dia ...
• El Diario de Patricia podria ser suspendido de la programacion!
• El dia del YacuZi de Hornillos hubo algo mas que no salio en Tv
• El dice si pero ella dice NOOOOOOOOOOOOOO
• El lado bueno de SADAM HUSSEIN
• El odio de Bush no es a quien pensamos...
• Emma Garcia es la revelacion de las tardes en T5
• Emma TamarGo la mujer que nos eligio a todos
• En Tv las audiencias justifican el contenido...
• Encarni,Tamara y Dimio ... al HoteL...GLAMOUR!
• Es Sadam un tirano,un Robin Hood o un Hittler?
• Es cierto que me pasaste tu esto?
• Fotos ineditas de los satelites sobre armamento de IraK
• Hombre o MuJer?
• Hubo tongo en la isla de los famosos?
• Humanidad entera se revela contra el emperador Bush
• Is Paulina a Borde Girl or a BORDER Girl?
• Joyas literarias en miniatura...un gran marketing, pero este es mejor
• LISTAS CORAZON ROSA Maria Jimenez vs Pepe Sancho...un montaje?
• La chica ideal, amante en el lecho,ama de casa en el hogar y...por la noche?
• Las camaras ocultas que graban a otras camaras ocultas
• Las fotos de Malena que Rodriguez Menendez nunca publicara
• Las manazas de Zidane
• Lo de Gran Hermano toma valores de locura
• Lo que Javier Sarda nunca pondra en Cronicas
• Lo que no se vio en el anuncio de Ronaldo
• Lo que no te podras llevar nunca de un Hiper
• Mairena al hotel Glamour!
• Mares que soportan vertidos...
• Marta Lopez,Hornillos,David Flores...buen trieto
• Metal Gear Solid 3 no saldra para PS2!!!!
• Mus o Brisca?
• NOTICION...el Doom3 saldra para PS2 en el 2004
• Nunca creeria tal cosa...pero esto es TOMBOLA!
• Oculta algo Ana Rosa Quintana???
• Operacion Triunfo o Gran Hermano
• PARCHE adjunto para la vulnerabilidad iFraXPe del OutLook
• Pocholo no solo le tiro un vaso de agua a Karmele...
• Portatiles a un precio de ganga
• Prefieres la delantera del Madrid o la de esta chicarrona?
• Que hace a Patricia una mujer tan diferente del resto?
• Que harias si pudieses volver a empezar?
• Quienes dijeron que el Barsa estaba acabado?
• Re: de todos modos el C.V. no esta completo
• Re: por favor reenviame el EMail que no me llego
• SALSA ROSA:Alfonso Santisteban o Marisa Medina,quien miente?
• Sarda,CoTo MaTaMoRos y CIA no paran
• Si en Hotel Glamour sucediera esto...
• Si esto es cierto entonces mejor irnos del pais
• Si tienes WindowsXP cuidado con la actualizacion automatica!!!
• Sigue el PrestiGe soltando petroleo?
• Tongo en Operacion Triunfo?
• Tu si puedes tocar el piano
• Venturas y DesVenturas de un Enrique Del PoZo angustiado
• Y por fin empezo el HoTeL GlaMoUR y como no...POLEMICA!
• Yo no estuve en DinoPolis pero si en PortAventura
• Yola, todo un soldado de ... fortuna
• conoces a GigaBYte...una chica BelGa...
• cosas de Coto...
• cuantos programas llevan en Cronicas Marcianas?
• de un amigo
• el NO A LA GUERRA al reves de Amaral...?
• el VERDADERO asunto del jabon Nenuco al descubierto
• el beso de Pocholo BordiU a Karmele trae...colaaaa
• el lado mas tenebroso del presidente Irakie
• el motivo de que el Risitas y PoZZi no fueran con Pocholo al HoTel
• este chico llegara lejos...con este pedazo de...
• existen formas y formas pero esta no me gusta
• fotos del nuevo proyecto de la Zona0
• la metio Bertin en su sitio al conocer a Sonia?
• las fotos de Rocio Madrid que nunca se publicaron
• los tertulianos de Cronicas necesitan respirar hondo?
• nVidia es superada de nuevo por ATI con el RV450
• ni el mismisimo Ronaldo puede con esto
• no te creas todo lo que te dicen
• nueva version mas efectiva del mitico PandActiveScan
• por que A3tv suspendio La Sonrisa del Pelicano y no El Diario de Patricia?
• por que la peseta sigue venciendo al euro?
• primero fue Nenuco ahora le toca el turno a...
• quien sera el proximo en salir en la foto?
• te reenvio la foto para que veas que esta trucada!!!
• un interesante estudio de los PettiSuiss
• una nueva crisis en el Barcelona FC ?
• y acerca de la Coca-Cola...es la Coca...CoKa, o un gran fraude
• Algunas cosas no necesitan comentarios

Message Body:

• ah! y no creas que tengo sed de Amor...
• ah! no te olvides de visitar nuestra WEB
• aumenta esta base de datos y colabora!
• casi sois mil amigos...y lo celebro asi
• cuantos mas lo sepamos mejorrrr!!!!
• de Laura Stevz para esta base de datos
• de un amigo para mas amigos
• de un amigo para un amigo
• de un enemigo para un enemigo
• di no al spam, no a la guerra,no al PP
• espero que te guste, si no es asi dimelo
• este primer envio es gratis,no temas
• esto no es solo producto de la ilusion
• mensajes entre grupos de jovenes
• ni si ni no si no todo lo contrario
• no te olvides de pasarme los canticos
• puedes recoger mas informacion en yax.com
• recuerda pasar esto a un amigo u enemigo...
• recuerda que no todo el EMail es Spam
• reenvialo a todos los amigos de la guerra
• sacado de www.masqueocio.net
• si a la musica, no a la guerra
• si el adjunto esta defectuoso reenviamelo
• si tienes algo interesante PASAMELO!!!
• si todo lo que recibes es tan bueno,,,
• sintonizanos ahora en 6.145MHz a las 22h
• spam SI guerra NO
• todo esto y mucho mas en coderz.net
• todos los envios que hacemos estan limpios
• usa el ActiveScan de Panda por si acaso
• visitanos en www.quefuerte.com
• www.tocamelos.net la pagina mas dinamica!
• y di NOOOOOOOO a la guerra
• y recuerda que en LinuXWorld te esperamos
• estos envios no vulneran la LSCI ni la SGAE

Attachment:

A 22,648 byte ZIP file %filename%.ZIP, where %filename% is selected from:

• AMANECE
• AMARALX
• ANAMRFC
• ANTRA_X
• ARAMISF
• AZNAROF
• BERTINS
• BORISXX
• BUSTMAN
• CAMARAX
• CARDNAS
• CARRSCO
• CHENOAX
• CLINTON
• COCACLA
• COCAINA
• CONFDNC
• COTOMTR
• CRONICS
• DBISBAL
• DRILLER
• EDELPOZ
• EMMACIA
• ENVIDIA
• FABIERT
• FLAVIOC
• FOTOGRF
• GABLNDO
• GALINDO
• GORDITA
• GRGBUSH
• GRHERMN
• HTLGLMR
• HUSSEIN
• INAUDIT
• JENIFER
• JNFROPE
• JNLOPEZ
• JOANTEN
• JRGE_GH
• JVSARDA
• KANALLA
• KARMELE
• KARTMAN
• KIKO_GH
• K_I_K_O
• LAFLACA
• LERENDA
• LOMASXX
• LOREENA
• LUSOLMO
• MARISAS
• MATAMRS
• MAXIMOP
• MISILES
• MONDRIZ
• MTERELU
• NE_NUCO
• NOABRIR
• OZORESS
• PEPSICL
• PNE_GRD
• PRADERA
• PRSTIGE
• QMASTDA
• RITALIN
• ROCIOCM
• RONALDO
• ROSALPZ
• SA_DAM_
• SA__DAM
• SHOWFLO
• SIESTAS
• SONIAGH
• SONIAGH
• SPIDRMN
• ST_PARK
• SXLIDAD
• TEMPRAN
• TENORIO
• TOMBOLA
• TOREROS
• TXIQUIX
• URQIOLA
• VENTAS2
• ZAPATER
• ZIDANNE
• _AINOA_
• _B_E_T_
• __ANIA_
• OPTUBMY

Symptoms

Symptoms -

Existence of the Registry key and files detailed in the "Method of Infection" section.

Method of Infection

Method of Infection -

This worm propagates via emailing itself to recipients listed in the Windows Address Book (WAB).

Installation on Victim Machine

When the worm is executed on the victim machine, it copies itself onto the victim machine (%WinDir% and %SysDir%), and sets Registry hooks to run the file at system startup:

(where %filename% is the filename of the worm executed on the victim machine. The latter two keys were only observed to be added on NT-based systems in testing.)

The worm creates a ZIP containing a copy of itself (using one of the filenames listed in attachment names above) as:

A base-64 encoded copy of the ZIP file is created as well (this is used in mail propagation):

(where %SysDir% represents the Windows system directory, eg. C:\WINNT\SYSTEM32)

The worm copies itself to the Windows start menu, using one of the following enticing filenames:

• Anti-Virus ActiveScan.exe
• Trucos de Windows.exe
• Norton Updates.exe

The worm also copies itself to the "My Documents" folder using the following filenames (with a .EXE extension):

• MicroSoft
• LoMasDuro
• Ferrari_F50
• Mirame!
• TvInteligente
• Tatiana_Veronica
• BradPitt Home Page
• pagina oficial de GeorgeClooneY
• U52
• B30
• MatriX2 Trailers
• Desnudos gratis
• ConeJitas!!!
• Pagina Web de Boris
• PlayStation3
• Cosas Indiscretas
• MandraGora
• WEB del Partido Popular
• Meneito
• PlayBoY
• pagina WEB Camela
• Cronicas Marcianas On-Line
• Real Madrid en internet
• Barcelona CF OnLine
• Irak in War!
• Tutoriales de Programacion
• Hotel Glamour en la red
• Foros Hotel Glamour
• Erotismo en la Red
• Pamela Anderson unoficial page
• fotos de famosos
• Camaras ocultas
• Marca online
• MP3-DivX-Fotos GRATIS!!!
• la WEB de los chistes
• el diario AS en internet
• El Mundo del siglo XXI
• Mariah CareY fans
• Eminem
• In-fraganti
• Azafata

Also a copy of the worm was written to the desktop as C.EXE.

The following Registry key is added by the worm, under which certain data is stored (e.g. email address of last mail recipient):

Removal -

Removal -

All Users:
Use specified engine and DAT files for detection.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the current engine and the specified DATs (or higher). Older engines may not be able to remove all registry keys created by this threat.

Additional Windows ME/XP removal considerations

Variants

Variants -

N/A