Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Miyu en 05 de Enero de 2005, 12:47:33 pm
-
W32/Breacuk.C. Usa mensajes en español y otros idiomas
Nombre: W32/Breacuk.C
Tipo: Gusano de Internet
Alias: Breacuk.C, WORM_BEAKER.C, Email-Worm.Win32.Breacuk.c, NewHeur_PE
Fecha: 28/dic/04
Plataforma: Windows 32-bit
Tamaño: 26,112 bytes (PE TeLock)
Gusano que se propaga por correo electrónico, con asuntos y mensajes en diferentes idiomas, entre ellos español.
El texto del mensaje intenta hacer creer que el archivo enviado está limpio de virus (jamás debemos abrir adjuntos no solicitados, sin importar el remitente y mucho menos en mensajes que no podemos comprobar).
Para enviarse a otros equipos, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), de tal modo que no importa que cliente de correo se tenga instalado.
Para propagarse, busca direcciones de correo en diferentes archivos del sistema.
El gusano crea múltiples copias de si mismo con nombres al azar en el sistema infectado. Sin embargo la presencia de un archivo B6.LOG en la carpeta de archivos temporales de Windows (TEMP), y el archivo CODM sin extensión en la carpeta de Windows, pueden ser un indicio de infección.
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
El gusano puede presentarse en mensajes con las siguientes características:
Asunto: [uno de los siguientes]
- Re:FW: imposs vel s-lo tanto... :P, v
- Re:FW:(none)
- Re:FW:Aid please! :), to see it
- Re:FW:Aide s'il vous plat! :), pour le voir
- Re:FW:Ajuda a ajudar-te... :), v
- Re:FW:Ayudame a ayudarte... :), miralo
- Re:FW:Because it is worth ,to see it
- Re:FW:Besser Witz des Jahres:), um es zu sehen
- Re:FW:Besserer Idiot des Jahres, um es zu sehen
- Re:FW:Besseres Foto des Jahres;), um es zu sehen
- Re:FW:Better idiot of the year, to see it
- Re:FW:Better joke of the year:), to see it
- Re:FW:Better Photo of the year;), to see it
- Re:FW:Ce que nous voulions toujours... :), pour le voir
- Re:FW:Che cosa abbiamo desiderato sempre... :), vederli
- Re:FW:Die schlechtere Sache des Jahres, um es zu sehen
- Re:FW:Es gibt kein Leben ohne Tod ...: (, um es zu sehen
- Re:FW:Es imposible serlo tanto... :P, miralo
- Re:FW:Es ist unm glich, es soviel ...:P zu sein, es zu sehen
- Re:FW:Foto migliore dell'anno;), per vederla
- Re:FW:Hilfe bitte!:), um es zu sehen
- Re:FW:Idiot migliore dell'anno, vederlo
- Re:FW:Il est impossible d' tre cela tant de ...:P, le voir
- Re:FW:Il n'y a aucune vie sans mort... : (, pour le voir
- Re:FW:impossibile a sia tanto... :P, vederlo
- Re:FW:It is impossible to be it as much... :P, to see it
- Re:FW:La cosa pi?ettosa dell'anno, vederla
- Re:FW:La chose plus mauvaise de l'anne, pour le voir
- Re:FW:Le meilleur idiot de l'ann e, pour le voir
- Re:FW:Lo peor del año, miralo
- Re:FW:Lo que siempre quisimos... :). miralo
- Re:FW:Meilleure Photo de l'anne;), pour le voir
- Re:FW:Mejor chiste del año :),miralo
- Re:FW:Mejor chorrada del año, miralo
- Re:FW:Mejor Foto del año ;), miralo
- Re:FW:Melhor anedota do ano :),v
- Re:FW:Melhor Foto do ano ;), v
- Re:FW:Mieux plaisanterie de l'anne :), pour le voir
- Re:FW:N vida sem morte... :(, v
- Re:FW:No hay vida sin muerte... :(, miralo
- Re:FW:Non ci vita senza morte... :(, vederla
- Re:FW:O mas idiota, v
- Re:FW:O pior do ano, v
- Re:FW:O que sempre quisemos... :). v
- Re:FW:Parce qu'il vaut, le voir
- Re:FW:Pois vale. v
- Re:FW:Preis!:D, um es zu sehen
- Re:FW:Premio! :D, vederlo
- Re:FW:Premio!!!! :D, miralo
- Re:FW:Prix! :D, pour le voir
- Re:FW:Prize! :D, to see it
- Re:FW:Prumio!!!! :D, v
- Re:FW:Pues vale. miralo
- Re:FW:Scherzo migliore dell'anno:), per vederlo
- Re:FW:Sussidio per favore! :), per vederlo
- Re:FW:The worse thing of the year, to see it
- Re:FW:There is no life without death... :(, to see it
- Re:FW:Was wir immer ... wollten:), um es zu sehen
- Re:FW:Weil das wert ist, es zu sehen
- Re:FW:What we always wanted...:), to see it
Texto del mensaje: [uno de los siguientes]
Kaspersky-Antivirus.
Kein Virus Gefundenes
State:Ok
Symantec-Antivirus.
Noo Vyrus.
State:Ok
Symantec-Antivirus.
Nessun Virus Found.
State:Ok
Kaspersky-Antivirus.
No Virus Found.
State:Ok
F-Secure-Antivirus.
Aucun Virus Constat
State:Ok
Panda ActiveScan-Antivirus.
No se encontraron virus.
Estado:Ok
Datos adjuntos: [uno de los siguientes]
a.zip
anedota2004.zip
Bilge2004.zip
Bonheur.zip
ck.zip
chiste2004.zip
Daswarniewie das.zip
Eskannnichtsein.zip
essere.zip
explodecarros.zip
Exploitedesvoitures.zip
exploitscars.zip
felicidad.zip
felicidade.zip
Felicit
Foto2004.zip
foto2004.zip
Happiness.zip
Heiligtum.zip
hrt.zip
Ichhabeesber
Ihavetouched it.zip
Ilnepeutpas
Itcannotbe.zip
Itwasneverlikethat.zip
jamasfueasi.zip
Jel'aitouch
Joke2004.zip
Kielraum2004.zip
L'hotoccato.zip
mehatocado.zip
metocou.zip
noneramaicomeci
Nonpu
nopuedeser.zip
nuncafoiassim.zip
opodeser.zip
Peggiore2004.zip
pegote2004.zip
peor2004.zip
photo2004.zip
Photo2004.zip
pior2004.zip
Plaisanterie2004.zip
Plusmauvais2004.zip
rebientacoches.zip
Renflement2004.zip
rio.zip
Sanctuaire.zip
Sanctuary.zip
santu
Santuario.zip
santuario.zip
Scherzo2004.zip
Schlechter2004.zip
stupido2004.zip
taitjamaiscomme
tatAutos.zip
tonto2004.zip
tre.zip
utilizzadelleautomobili.zip
Witz2004.zip
Worse2004.zip
Cuando el contenido del adjunto es ejecutado (doble clic), el gusano se copia varias veces, todas con nombres al azar, en las siguientes carpetas del sistema:
\TEMP\
c:\windows\Fonts
c:\windows\system
c:\windows\system32
c:\windows\Tasks
También crea una copia comprimida (.ZIP) de si mismo con el nombre de B6.LOG en la siguiente ubicación:
\TEMP\b6.log
Crea la siguiente copia de si mismo en formato Base64:
c:\windows\codm
Para asegurarse de autoejecución en cada reinicio de Windows, crea las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\Temp\[nombre].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\Tasks\[nombre].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\Fonts\[nombre].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\System\[nombre].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\System32\[nombre].exe"
Donde "?????" son caracteres al azar, y el [nombre] del gusano es uno de los archivos creados antes también con nombres al azar.
Para propagarse por correo electrónico se envía a si mismo en mensajes como el ya descrito, a las direcciones encontradas en archivos con las siguientes extensiones del equipo infectado:
.adb
.ade
.asp
.avi
.bak
.bas
.bat
.bin
.bmp
.cfg
.cgi
.cls
.cmd
.com
.css
.csv
.ctl
.ctt
.dat
.dbx
.dhtm
.doc
.eml
.fdb
.frm
.htm
.html
.ihm
.imb
.img
.inf
.ini
.iso
.jpg
.js
.jsp
.log
.logs
.lst
.mda
.mdb
.mdw
.mdx
.mp3
.mpg
.msg
.msi
.nch
.nfo
.nrg
.nws
.oft
.pdf
.php
.pif
.pl
.pmr
.ppt
.rar
.rft
.rpt
.rtf
.scr
.sfc
.sht
.shtm
.swf
.tbb
.txt
.uni
.url
.vap
.vbs
.vcf
.wab
.wma
.wsh
.xls
.xml
.zip
Cuando detecta una conexión a Internet, abre el navegador para intentar mostrar las siguientes imágenes:
http://www.por???rone.com/ad2_03/images/pc0132hb026.jpg
http://www.por???rone.com/ad2_03/images/pc0132hb072.jpg
http://www.por???rone.com/ad2_03/images/pc0132hb098.jpg
Desinfección y más información http://www.vsantivirus.com/breacuk-c.htm
W32/Breacuk.D. Usa mensajes en español y otros idiomas
Nombre: W32/Breacuk.D
Tipo: Gusano de Internet
Alias: Breacuk.D, Email-Worm.Win32.Breacuk.d, WORM_BEAKER.D, NewHeur_PE
Fecha: 28/dic/04
Plataforma: Windows 32-bit
Tamaño: 39,958 bytes (ARM)
Gusano que se propaga por correo electrónico, con asuntos y mensajes en diferentes idiomas, entre ellos español.
Para enviarse a otros equipos, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), de tal modo que no importa que cliente de correo se tenga instalado.
Para propagarse, busca direcciones de correo en diferentes archivos del sistema.
El gusano crea múltiples copias de si mismo con nombres al azar en el sistema infectado. Sin embargo la presencia de un archivo B6.LOG y el archivo CODM sin extensión en la carpeta TASKS de Windows, pueden ser un indicio de infección.
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El gusano puede presentarse en mensajes con las siguientes características:
De: [uno de los siguientes nombres falsos]
Abelardo
Aberto
Andrew
Annina
Astrid
Augusta
Baiardo
Bandini
Brad
Calino
Carl
cio
Cipriano
Charlize
Chele
Dalia
Damiano
Dorum
Eldonia
Elmo
Erwin
Fabio
Fabr
Gabriele
Gillaine
Glor
Heinrich
Henry
Ivone
Jader
JCarlos
Jenni
Jos
Karl
Kelson
Klaus
Leeroy
Liam
lida
lie
Ludwig
Luis
Mar
Marta
Michael
Nerea
Oskar
Parph
Paula
Pedro
Pepe
Rafael
Richard
Sara
Tom
ucena
vina
Wilburge
Wilhem
William
Wolfgang
Yvonnelle
Asunto: [uno de los siguientes]
- deseja um ano feliz!
- lei desidera un anno felice!
- Te deseo un feliz año
- U wenst een gelukkig jaar!
- Vous dTsirez une annTe heureuse!
- You desire a happy year!
Texto del mensaje: [uno de los siguientes]
- ¡¡Buon Natale!!
- ¡¡Feliz Navidad!!
- ¡¡Joyeux Noel!!
- ¡¡Merry Christmas!!
- ¡¡Natal feliz!!
- ¡¡Vrolijke Kerstmis!!
Datos adjuntos: [uno de los siguientes]
Brief_Kerstmis5.zip
carta_navidad551.zip
l578.zip
letter_Christmas512.zip
Natal_de_letra1.zip
Natale_di_lettera21.zip
Cuando el contenido del adjunto es ejecutado (doble clic), el gusano se copia varias veces, todas con nombres al azar, en las siguientes carpetas del sistema:
c:\windows\Fonts
c:\windows\ServicePackFiles\i386
c:\windows\system
c:\windows\system32
c:\windows\Tasks
Además, se copia a si mismo con los siguientes nombres en las siguientes ubicaciones:
c:\windows\$NtServicePackUninstall$\cmd.exe
c:\windows\$NtServicePackUninstall$\msconfig.exe
c:\windows\$NtServicePackUninstall$\regedit.exe
c:\windows\$NtServicePackUninstall$\taskmgr.exe
c:\windows\$NtServicePackUninstall$\wupdmgr.exe
c:\windows\command.com
c:\windows\PCHEALTH\HELPCTR\Binaries\msconfig.exe
c:\windows\regedit.exe
c:\windows\ServicePackFiles\i386\cmd.exe
c:\windows\ServicePackFiles\i386\msconfig.exe
c:\windows\ServicePackFiles\i386\regedit.exe
c:\windows\ServicePackFiles\i386\taskmgr.exe
c:\windows\system\msconfig.exe
c:\windows\system\systray.exe
c:\windows\system32\cmd.exe
c:\windows\system32\dllcache\cmd.exe
c:\windows\system32\dllcache\regedit.exe
c:\windows\system32\dllcache\regedt32.exe
c:\windows\system32\dllcache\taskmgr.exe
c:\windows\system32\dllcache\wupdmgr.exe
c:\windows\system32\regedt32.exe
c:\windows\system32\taskmgr.exe
c:\windows\system32\wupdmgr.exe
c:\windows\wupdmgr.exe
Crea una copia comprimida (.ZIP) de si mismo con el nombre de B6.LOG en la siguiente ubicación:
c:\windows\Tasks\b6.log
Crea la siguiente copia de si mismo en formato Base64:
c:\windows\Tasks\codm
Para asegurarse de autoejecución en cada reinicio de Windows, crea las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\Tasks\[nombre].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\FONTS\[nombre].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\System\[nombre].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\System32\[nombre].exe"
Donde "?????" son caracteres al azar, y el [nombre] del gusano es uno de los archivos creados antes también con nombres al azar.
Para propagarse por correo electrónico se envía a si mismo en mensajes como el ya descrito, a las direcciones encontradas en archivos con las siguientes extensiones del equipo infectado:
.adb
.ade
.asp
.avi
.bak
.bas
.bat
.bin
.bmp
.cfg
.cgi
.cls
.cmd
.com
.css
.csv
.ctl
.ctt
.dat
.dbx
.dhtm
.doc
.eml
.fdb
.frm
.htm
.html
.ihm
.imb
.img
.inf
.ini
.iso
.jpg
.js
.jsp
.log
.logs
.lst
.mda
.mdb
.mdw
.mdx
.mp3
.mpg
.msg
.msi
.nch
.nfo
.nrg
.nws
.oft
.pdf
.php
.pif
.pl
.pmr
.ppt
.rar
.rft
.rpt
.rtf
.scr
.sfc
.sht
.shtm
.swf
.tbb
.txt
.uni
.url
.vap
.vbs
.vcf
.wab
.wma
.wsh
.xls
.xml
.zip
Evita propagarse a direcciones electrónicas que contengan las siguientes cadenas en sus nombres:
antivirus
avp
bitdefender
box
compuserve
conclase
cracks
domain
dominio
dominiosfree
eListas
europe
gedzac
gnu
home
izhal
kaspersky
kernel
linux
list
mcafee
microsoft
MICROSOFT
no-ip
norman
norton
panda
pandasoft
phreaker
secure
security
securityfocus
seguridad
server
servidor
sophos
steels
symantec
unix
virus
virus-l
zackyfiles
Cuando detecta una conexión a Internet, abre el navegador para intentar mostrar las siguientes imágenes:
http:/ /www .???et/schools/Intermediate/Specials/Assets/navidad.gif
http:/ /www .???cora.com/sanber%20navidad.gif
http:/ /www .???.es/~masa/tvs/navidad/navidad2b.gif
Para no ejecutarse más de una vez en memoria, el gusano crea el siguiente mutex:
-=BreaKer=-
Desinfección y más información http://www.vsantivirus.com/breacuk-d.htm
W32/Breacuk.E. Usa mensajes en español y otros idiomas
Nombre: W32/Breacuk.E
Tipo: Gusano de Internet
Alias: Breacuk.E, Email-Worm.Win32.Breacuk.e, NewHeur_PE, W32/Beaker-B, W32/Breacuk.A@mm, W32/Breacuk.b@MM, W32/Breacuk.D, Win32.Breacuk.E@mm, WORM_BEAKER.B
Fecha: 25/dic/04
Plataforma: Windows 32-bit
Tamaño: 19,643 bytes
Gusano que se propaga por correo electrónico, con asuntos y mensajes en diferentes idiomas, entre ellos español.
Para enviarse a otros equipos, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), de tal modo que no importa que cliente de correo se tenga instalado.
Para propagarse, busca direcciones de correo en diferentes archivos del sistema.
El gusano crea múltiples copias de si mismo con nombres al azar en el sistema infectado. Sin embargo la presencia de un archivo B6.LOG y el archivo CODM sin extensión en la carpeta TASKS de Windows, pueden ser un indicio de infección.
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El gusano puede presentarse en mensajes con las siguientes características:
De: [uno de los siguientes nombres falsos]
Abelardo
Aberto
Andrew
Annina
Astrid
Augusta
Baiardo
Bandini
Brad
Calino
Carl
cio
Cipriano
Charlize
Chele
Dalia
Damiano
Dorum
Eldonia
Elmo
Erwin
Fabio
Fabr
Gabriele
Gillaine
Glor
Heinrich
Henry
Ivone
Jader
JCarlos
Jenni
Jos
Karl
Kelson
Klaus
Leeroy
Liam
lida
lie
Ludwig
Luis
Mar
Marta
Michael
Nerea
Oskar
Parph
Paula
Pedro
Pepe
Rafael
Richard
Sara
Tom
ucena
vina
Wilburge
Wilhem
William
Wolfgang
Yvonnelle
Asunto: [uno de los siguientes]
- deseja um ano feliz!
- lei desidera un anno felice!
- Te deseo un feliz a
- U wenst een gelukkig jaar!
- Vous dTsirez une annTe heureuse!
- You desire a happy year!
Texto del mensaje: [uno de los siguientes]
- ¡¡Buon Natale!!
- ¡¡Feliz Navidad!!
- ¡¡Joyeux Noel!!
- ¡¡Merry Christmas!!
- ¡¡Natal feliz!!
- ¡¡Vrolijke Kerstmis!!
Datos adjuntos: [uno de los siguientes]
Brief_Kerstmis5.zip
carta_navidad551.zip
l578.zip
letter_Christmas512.zip
Natal_de_letra1.zip
Natale_di_lettera21.zip
Cuando el contenido del adjunto es ejecutado (doble clic), el gusano se copia varias veces, todas con nombres al azar, en las siguientes carpetas del sistema:
c:\windows\system32\Fonts
c:\windows\system32\ServicePackFiles\i386
c:\windows\system32\system
c:\windows\system32\system32
c:\windows\system32\Tasks
Además, se copia a si mismo con los siguientes nombres en las siguientes ubicaciones:
c:\windows\system32\$NtServicePackUninstall$\cmd.exe
c:\windows\system32\$NtServicePackUninstall$\msconfig.exe
c:\windows\system32\$NtServicePackUninstall$\regedit.exe
c:\windows\system32\$NtServicePackUninstall$\taskmgr.exe
c:\windows\system32\$NtServicePackUninstall$\wupdmgr.exe
c:\windows\system32\command.com
c:\windows\system32\PCHEALTH\HELPCTR\Binaries\msconfig.exe
c:\windows\system32\regedit.exe
c:\windows\system32\ServicePackFiles\i386\cmd.exe
c:\windows\system32\ServicePackFiles\i386\msconfig.exe
c:\windows\system32\ServicePackFiles\i386\regedit.exe
c:\windows\system32\ServicePackFiles\i386\taskmgr.exe
c:\windows\system32\system\msconfig.exe
c:\windows\system32\system\systray.exe
c:\windows\system32\system32\cmd.exe
c:\windows\system32\system32\dllcache\cmd.exe
c:\windows\system32\system32\dllcache\regedit.exe
c:\windows\system32\system32\dllcache\regedt32.exe
c:\windows\system32\system32\dllcache\taskmgr.exe
c:\windows\system32\system32\dllcache\wupdmgr.exe
c:\windows\system32\system32\regedt32.exe
c:\windows\system32\system32\taskmgr.exe
c:\windows\system32\system32\wupdmgr.exe
c:\windows\system32\wupdmgr.exe
Crea una copia comprimida (.ZIP) de si mismo con el nombre de B6.LOG en la siguiente ubicación:
c:\windows\system32\Tasks\b6.log
Crea la siguiente copia de si mismo en formato Base64:
c:\windows\Tasks\codm
Para asegurarse de autoejecución en cada reinicio de Windows, crea las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\system32\Tasks\[nombre].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\system32\Fonts\[nombre].exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\system32\System\[nombre].exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\system32\System32\[nombre].exe"
Donde "?????" son caracteres al azar, y el [nombre] del gusano es uno de los archivos creados antes también con nombres al azar.
Para propagarse por correo electrónico se envía a si mismo en mensajes como el ya descrito, a las direcciones encontradas en archivos con las siguientes extensiones del equipo infectado:
.adb
.ade
.asp
.avi
.bak
.bas
.bat
.bin
.bmp
.cfg
.cgi
.cls
.cmd
.com
.css
.csv
.ctl
.ctt
.dat
.dbx
.dhtm
.doc
.eml
.fdb
.frm
.htm
.html
.ihm
.imb
.img
.inf
.ini
.iso
.jpg
.js
.jsp
.log
.logs
.lst
.mda
.mdb
.mdw
.mdx
.mp3
.mpg
.msg
.msi
.nch
.nfo
.nrg
.nws
.oft
.pdf
.php
.pif
.pl
.pmr
.ppt
.rar
.rft
.rpt
.rtf
.scr
.sfc
.sht
.shtm
.swf
.tbb
.txt
.uni
.url
.vap
.vbs
.vcf
.wab
.wma
.wsh
.xls
.xml
.zip
Evita propagarse a direcciones electrónicas que contengan las siguientes cadenas en sus nombres:
antivirus
avp
bitdefender
box
compuserve
conclase
cracks
domain
dominio
dominiosfree
eListas
europe
gedzac
gnu
home
izhal
kaspersky
kernel
linux
list
mcafee
microsoft
MICROSOFT
no-ip
norman
norton
panda
pandasoft
phreaker
secure
security
securityfocus
seguridad
server
servidor
sophos
steels
symantec
unix
virus
virus-l
zackyfiles
Cuando detecta una conexión a Internet, abre el navegador para intentar mostrar las siguientes imágenes:
http://www.?????xed.net/schools/Intermediate/Specials/Assets/navidad.gif
http://www.?????bitacora.com/sanber%20navidad.gif
http://www.?????.es/~masa/tvs/navidad/navidad2b.gif
Para no ejecutarse más de una vez en memoria, el gusano crea el siguiente mutex:
-=BreaKer=-
Desinfección y más información http://www.vsantivirus.com/breacuk-e.htm