• Domingo 22 de Diciembre de 2024, 23:22

Autor Tema:  Variante Mydoomao  (Leído 1661 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Variante Mydoomao
« en: Sábado 22 de Enero de 2005, 16:40 »
0
Datos Técnicos
Peligrosidad: 3 - Media     
Difusión:       Baja   
Fecha de Alta:22-01-2005
Última Actualización:22-01-2005
Daño:      Alto
[Explicación de los criterios]   
Dispersibilidad:      Alto
Nombre completo: Worm.W32/Mydoom.AO@MM    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 65536
Alias:WORM_MYDOOM.AL (Trend Micro), W32.Mydoom.AL@mm (Symantec), Win32/Mydoom.AO (Enciclopedia Virus), Worm/Wurmark.D.2.1 (Otros), W32/Mydoom.AO (Otros), Worm.Mydoom.Gen-unp (ClamAV)

Detalles
Instalación

Cuando se ejecuta el gusano, se copia con el siguiente nombre:

    * c:\windows\services.exe

      NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).

El gusano crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RPCserv32 = c:\windows\services.exe

Se registra a si mismo como un servicio con las siguientes propiedades:

    * Nombre de servicio : NetBios Ext
    * Nombre para mostrar: NetBios Ext
    * Ruta de acceso al ejecutable: c:\windows\services.exe serv
    * Tipo de inicio: Automático

Para ello, crea la siguiente entrada en el registro:

HKLM\SYSTEM\CurrentControlSet\Services\NetBios Ext
DisplayName = "NetBios Ext"
ImagePath= "c:\windows\services.exe serv"
RPCserv32 = "c:\windows\services.exe"

También se agrega a si mismo como un programa autorizado en la lista de excepciones del cortafuegos en Windows XP SP2, dentro de la siguiente clave del registro:

HKLM\SYSTEM\CurrentControlSet
\Services\SharedAccess\Parameters
\FirewallPolicy\DomainProfile\AuthorizedApplications\List

Propagación por correo

Para recopilar direcciones sobre las que propagarse, envía una determinada petición a los siguientes sitios de búsqueda:

    * www .accoona .com
    * www .google .com

También busca direcciones en la carpeta de archivos temporales de Internet y en archivos con las siguientes extensiones:

    * .asp
    * .cgi
    * .dbx
    * .dht
    * .eml
    * .htm
    * .jsp
    * .mbx
    * .mht
    * .msg
    * .php
    * .sht
    * .stm
    * .tbb
    * .txt
    * .uin
    * .wab

      Esto incluye los textos de mensajes de MS Outlook y la libreta de direcciones.

El gusano evita enviarse a aquellas direcciones que contengan alguno de los siguientes textos en su nombre:

    * .gov
    * .mil
    * @foo.
    * @iana
    * abuse
    * accoun
    * acketst
    * admin
    * antivi
    * anyone
    * arin.
    * avp.
    * berkeley
    * borlan
    * bsd
    * certific
    * contact
    * example
    * feste
    * fido
    * fsf.
    * gnu
    * gold-certs
    * google
    * gov.
    * help
    * iana
    * ibm.com
    * icq.com
    * icrosof
    * icrosoft
    * ietf
    * info
    * inpris
    * isc.o
    * isi.e
    * kasp
    * kernel
    * linux
    * listserv
    * math
    * messagelabs
    * mit.e
    * mozilla
    * mydomai
    * news
    * nobody
    * nodomai
    * noone
    * noreply
    * nothing
    * ntivi
    * panda
    * pgp
    * postmaster
    * privacy
    * rating
    * rfc-ed
    * ripe.
    * root
    * ruslis
    * samples
    * secur
    * sendmail
    * service
    * site
    * somebody
    * someone
    * sopho
    * spam
    * submit
    * support
    * syman
    * tanford.e
    * unix
    * upport
    * usenet
    * utgers.ed
    * webmaster
    * www

El gusano, puede llegar en un mensaje con las siguientes características:

De: "[nombre] [apellido]" <[nombre]4 @ [dominio]>

Donde [primer nombre] es uno de los siguientes:

    * Aaron
    * Abraham
    * Adrian
    * Albert
    * Alberto
    * Alejandro
    * Alexander
    * Alfonso
    * Alfred
    * Alfredo
    * Allan
    * Allen
    * Alonzo
    * Alton
    * Alvin
    * Andre
    * Andres
    * Andrew
    * Angel
    * Angelo
    * Anthony
    * Antonio
    * Archie
    * Armando
    * Arnold
    * Arthur
    * Arturo
    * Aubrey
    * Austin
    * Barry
    * Benjamin
    * Bennie
    * Benny
    * Bernard
    * Billy
    * Blake
    * Bobby
    * Bradford
    * Bradley
    * Brandon
    * Brendan
    * Brent
    * Brett
    * Brian
    * Bruce
    * Bryan
    * Bryant
    * Byron
    * Caleb
    * Calvin
    * Cameron
    * Carlos
    * Carlton
    * Carroll
    * Casey
    * Cecil
    * Cedric
    * Cesar
    * Charles
    * Charlie
    * Chester
    * Chris
    * Christian
    * Christopher
    * Clarence
    * Clark
    * Claude
    * Clayton
    * Clifford
    * Clifton
    * Clint
    * Clinton
    * Clyde
    * Colin
    * Conrad
    * Corey
    * Cornelius
    * Courtney
    * Craig
    * Curtis
    * Dallas
    * Damon
    * Daniel
    * Danny
    * Darin
    * Darnell
    * Darrel
    * Darrell
    * Darren
    * Darrin
    * Darryl
    * Daryl
    * David
    * Delbert
    * Dennis
    * Derek
    * Derrick
    * Devin
    * Dewey
    * Dexter
    * Domingo
    * Dominic
    * Dominick
    * Donald
    * Donnie
    * Douglas
    * Doyle
    * Duane
    * Dustin
    * Dwayne
    * Dwight
    * Earnest
    * Eddie
    * Edgar
    * Edmond
    * Edmund
    * Eduardo
    * Edward
    * Edwin
    * Elbert
    * Elias
    * Elijah
    * Ellis
    * Elmer
    * Emanuel
    * Emilio
    * Emmett
    * Enrique
    * Erick
    * Ernest
    * Ernesto
    * Ervin
    * Eugene
    * Everett
    * Felipe
    * Felix
    * Fernando
    * Floyd
    * Forrest
    * Francis
    * Francisco
    * Frank
    * Frankie
    * Franklin
    * Freddie
    * Frederick
    * Fredrick
    * Gabriel
    * Garrett
    * Garry
    * Geoffrey
    * George
    * Gerald
    * Gerard
    * Gerardo
    * Gilbert
    * Gilberto
    * Glenn
    * Gordon
    * Grady
    * Grant
    * Gregg
    * Gregory
    * Guadalupe
    * Guillermo
    * Gustavo
    * Harold
    * Harry
    * Harvey
    * Hector
    * Henry
    * Herbert
    * Herman
    * Homer
    * Horace
    * Howard
    * Hubert
    * Ignacio
    * Irvin
    * Irving
    * Isaac
    * Ismael
    * Israel
    * Jackie
    * Jacob
    * Jaime
    * James
    * Jamie
    * Jared
    * Jason
    * Javier
    * Jeffery
    * Jeffrey
    * Jerald
    * Jeremiah
    * Jeremy
    * Jermaine
    * Jerome
    * Jerry
    * Jesse
    * Jessie
    * Jesus
    * Jimmie
    * Jimmy
    * Johnathan
    * Johnnie
    * Johnny
    * Jonathan
    * Jonathon
    * Jordan
    * Jorge
    * Joseph
    * Joshua
    * Julian
    * Julio
    * Julius
    * Justin
    * Keith
    * Kelly
    * Kelvin
    * Kenneth
    * Kenny
    * Kerry
    * Kevin
    * Kristopher
    * Lamar
    * Lance
    * Larry
    * Laurence
    * Lawrence
    * Leland
    * Leonard
    * Leroy
    * Leslie
    * Lester
    * Lewis
    * Lionel
    * Lloyd
    * Lonnie
    * Loren
    * Lorenzo
    * Louis
    * Lowell
    * Lucas
    * Luther
    * Malcolm
    * Manuel
    * Marco
    * Marcos
    * Marcus
    * Mario
    * Marion
    * Marlon
    * Marshall
    * Martin
    * Marty
    * Marvin
    * Mathew
    * Matthew
    * Maurice
    * Melvin
    * Merle
    * Michael
    * Micheal
    * Miguel
    * Milton
    * Mitchell
    * Morris
    * Moses
    * Myron
    * Nathan
    * Nathaniel
    * Nelson
    * Nicholas
    * Nicolas
    * Norman
    * Oliver
    * Orlando
    * Orville
    * Oscar
    * Pablo
    * Patrick
    * Pedro
    * Percy
    * Perry
    * Peter
    * Philip
    * Phillip
    * Preston
    * Rafael
    * Ralph
    * Ramiro
    * Ramon
    * Randal
    * Randall
    * Randolph
    * Randy
    * Raymond
    * Reginald
    * Ricardo
    * Richard
    * Rickey
    * Ricky
    * Robert
    * Roberto
    * Robin
    * Roderick
    * Rodney
    * Rodolfo
    * Rogelio
    * Roger
    * Roland
    * Rolando
    * Roman
    * Ronald
    * Ronnie
    * Roosevelt
    * Ruben
    * Rudolph
    * Rufus
    * Russell
    * Salvador
    * Salvatore
    * Sammy
    * Samuel
    * Santiago
    * Santos
    * Scott
    * Sergio
    * Shane
    * Shannon
    * Shaun
    * Shawn
    * Sheldon
    * Sherman
    * Sidney
    * Simon
    * Spencer
    * Stanley
    * Stephen
    * Steve
    * Steven
    * Stewart
    * Stuart
    * Sylvester
    * Taylor
    * Terence
    * Terrance
    * Terrell
    * Terrence
    * Terry
    * Theodore
    * Thomas
    * Timmy
    * Timothy
    * Tomas
    * Tommie
    * Tommy
    * Tracy
    * Travis
    * Trevor
    * Tyler
    * Tyrone
    * Vernon
    * Victor
    * Vincent
    * Virgil
    * Wallace
    * Walter
    * Warren
    * Wayne
    * Wendell
    * Wesley
    * Wilbert
    * Wilbur
    * Wilfred
    * Willard
    * William
    * Willie
    * Willis
    * Wilson
    * Winston
    * Woodrow
    * Zachary

El apellido podrá ser alguno de los siguientes:

    * Abbott
    * Adams
    * Adkins
    * Aguilar
    * Alexander
    * Allen
    * Allison
    * Alvarado
    * Alvarez
    * Anderson
    * Andrews
    * Armstrong
    * Arnold
    * Atkins
    * Austin
    * Bailey
    * Baker
    * Baldwin
    * Ballard
    * Banks
    * Barber
    * Barker
    * Barnes
    * Barnett
    * Barrett
    * Barton
    * Bates
    * Becker
    * Bennett
    * Benson
    * Berry
    * Bishop
    * Black
    * Blair
    * Blake
    * Boone
    * Bowen
    * Bowers
    * Bowman
    * Bradley
    * Brady
    * Brewer
    * Bridges
    * Briggs
    * Brock
    * Brooks
    * Brown
    * Bryan
    * Bryant
    * Buchanan
    * Burgess
    * Burke
    * Burns
    * Burton
    * Butler
    * Caldwell
    * Campbell
    * Cannon
    * Carlson
    * Carpenter
    * Carroll
    * Carson
    * Carter
    * Casey
    * Castillo
    * Castro
    * Chambers
    * Chandler
    * Chapman
    * Chavez
    * Christensen
    * Clark
    * Clarke
    * Clayton
    * Cohen
    * Coleman
    * Collier
    * Collins
    * Colon
    * Conner
    * Cooper
    * Copeland
    * Cortez
    * Craig
    * Crawford
    * Cross
    * Cummings
    * Cunningham
    * Curry
    * Curtis
    * Daniel
    * Daniels
    * Davidson
    * Davis
    * Dawson
    * Delgado
    * Dennis
    * Dixon
    * Douglas
    * Doyle
    * Drake
    * Duncan
    * Edwards
    * Elliott
    * Ellis
    * Erickson
    * Estrada
    * Evans
    * Farmer
    * Ferguson
    * Fernandez
    * Fields
    * Figueroa
    * Fisher
    * Fitzgerald
    * Fleming
    * Fletcher
    * Flores
    * Flowers
    * Floyd
    * Foster
    * Fowler
    * Francis
    * Frank
    * Franklin
    * Frazier
    * Freeman
    * French
    * Fuller
    * Garcia
    * Gardner
    * Garner
    * Garrett
    * Garza
    * George
    * Gibbs
    * Gibson
    * Gilbert
    * Glover
    * Gomez
    * Gonzales
    * Gonzalez
    * Goodman
    * Goodwin
    * Gordon
    * Graham
    * Grant
    * Graves
    * Green
    * Greene
    * Greer
    * Gregory
    * Griffin
    * Griffith
    * Gross
    * Guerrero
    * Gutierrez
    * Guzman
    * Hamilton
    * Hammond
    * Hampton
    * Hansen
    * Hanson
    * Hardy
    * Harmon
    * Harper
    * Harrington
    * Harris
    * Harrison
    * Harvey
    * Hawkins
    * Hayes
    * Haynes
    * Henderson
    * Henry
    * Hernandez
    * Herrera
    * Hicks
    * Higgins
    * Hines
    * Hodges
    * Hoffman
    * Hogan
    * Holland
    * Holloway
    * Holmes
    * Hopkins
    * Horton
    * Houston
    * Howard
    * Howell
    * Hubbard
    * Hudson
    * Hughes
    * Hunter
    * Ingram
    * Jackson
    * Jacobs
    * James
    * Jefferson
    * Jenkins
    * Jennings
    * Jensen
    * Jimenez
    * Johnson
    * Johnston
    * Jones
    * Jordan
    * Joseph
    * Keller
    * Kelley
    * Kelly
    * Kennedy
    * Klein
    * Knight
    * Lambert
    * Larson
    * Lawrence
    * Lawson
    * Leonard
    * Lewis
    * Lindsey
    * Little
    * Lloyd
    * Logan
    * Lopez
    * Lucas
    * Lynch
    * Lyons
    * Maldonado
    * Malone
    * Manning
    * Marsh
    * Marshall
    * Martin
    * Martinez
    * Mason
    * Massey
    * Mathis
    * Matthews
    * Maxwell
    * Mcbride
    * Mccarthy
    * Mccormick
    * Mccoy
    * Mcdaniel
    * Mcdonald
    * Mcgee
    * Mcguire
    * Mckenzie
    * Mckinney
    * Mclaughlin
    * Medina
    * Mendez
    * Mendoza
    * Meyer
    * Miles
    * Miller
    * Mills
    * Mitchell
    * Montgomery
    * Moody
    * Moore
    * Morales
    * Moran
    * Moreno
    * Morgan
    * Morris
    * Morrison
    * Morton
    * Mullins
    * Munoz
    * Murphy
    * Murray
    * Myers
    * Nelson
    * Newman
    * Newton
    * Nguyen
    * Nichols
    * Norman
    * Norris
    * Norton
    * Nunez
    * Obrien
    * Oliver
    * Olson
    * Ortega
    * Ortiz
    * Osborne
    * Owens
    * Padilla
    * Palmer
    * Parker
    * Parks
    * Parsons
    * Patrick
    * Patterson
    * Patton
    * Payne
    * Pearson
    * Perez
    * Perkins
    * Perry
    * Peters
    * Peterson
    * Phelps
    * Phillips
    * Pierce
    * Pittman
    * Poole
    * Porter
    * Potter
    * Powell
    * Powers
    * Pratt
    * Price
    * Quinn
    * Ramirez
    * Ramos
    * Ramsey
    * Reese
    * Reeves
    * Reyes
    * Reynolds
    * Rhodes
    * Richards
    * Richardson
    * Riley
    * Rivera
    * Robbins
    * Roberson
    * Roberts
    * Robertson
    * Robinson
    * Rodgers
    * Rodriguez
    * Rodriquez
    * Rogers
    * Romero
    * Russell
    * Salazar
    * Sanchez
    * Sanders
    * Sandoval
    * Santiago
    * Santos
    * Saunders
    * Schmidt
    * Schneider
    * Schultz
    * Schwartz
    * Scott
    * Sharp
    * Shelton
    * Sherman
    * Silva
    * Simmons
    * Simon
    * Simpson
    * Singleton
    * Smith
    * Snyder
    * Sparks
    * Spencer
    * Stanley
    * Steele
    * Stephens
    * Stevens
    * Stevenson
    * Stewart
    * Stokes
    * Stone
    * Strickland
    * Sullivan
    * Summers
    * Sutton
    * Swanson
    * Taylor
    * Terry
    * Thomas
    * Thompson
    * Thornton
    * Torres
    * Townsend
    * Tucker
    * Turner
    * Tyler
    * Underwood
    * Valdez
    * Vargas
    * Vasquez
    * Vaughn
    * Wagner
    * Walker
    * Wallace
    * Walsh
    * Walters
    * Walton
    * Warner
    * Warren
    * Washington
    * Waters
    * Watkins
    * Watson
    * Watts
    * Weaver
    * Weber
    * Webster
    * Welch
    * Wells
    * Wheeler
    * White
    * Wilkerson
    * Wilkins
    * Williams
    * Williamson
    * Willis
    * Wilson
    * Wolfe
    * Woods
    * Wright
    * Yates
    * Young
    * Zimmerman

Y el dominio, alguno de los siguientes:

    * 1access.net
    * a1isp.net
    * accessus.net
    * address.com
    * ameralinx.net
    * aol.com
    * apci.net
    * arczip.com
    * aristotle.net
    * att.net
    * cableone.net
    * cais.com
    * canada.com
    * cayuse.net
    * ccp.com
    * ccpc.net
    * chello.com
    * compuserve.com
    * core.com
    * cox.net
    * cybernex.net
    * dailymail.co.uk
    * dialupnet.com
    * earthlink.net
    * eclipse.net
    * eisa.com
    * ev1.net
    * excite.com
    * fast.net
    * fcc.net
    * flex.com
    * gbronline.com
    * globalbiz.net
    * globetrotter.net
    * gmx.net
    * highstream.net
    * hiwaay.net
    * hotmail.com
    * ieway.com
    * inext.fr
    * infoave.net
    * iquest.net
    * isp.com
    * ispwest.com
    * istep.com
    * juno.com
    * loa.com
    * macconnect.com
    * madriver.com
    * mail.com
    * msn.com
    * nccw.net
    * netcenter.com
    * netrox.net
    * netzero.net
    * pacific.net.sg
    * palm.net
    * pathlink.com
    * peoplepc.com
    * pics.com
    * rcn.com
    * ricochet.com
    * surfree.com
    * t/-online.com
    * t/-online.de
    * tiscali.com
    * toad.net
    * ultimanet.com
    * verizon.net
    * wanadoo.com
    * worldcom.com
    * worldshare.net
    * wwc.com
    * yahoo.co.uk
    * yahoo.com
    * ziplink.net

El siguiente es un ejemplo de mensaje compuesto por combinaciones de los campos descritos:

De: "Evan Gomez"
Asunto: Christmas Greeting Card Waiting For You
Texto mensaje: New Year Postcard from Chris
Adjunto: Clyde_nude.pif

Otros detalles

El gusano busca la carpeta donde se encuentre instalado el ICQ Instant Messenger y crea una copia de si mismo con los siguientes nombres:

    * 1.exe
    * antibush.scr
    * coolgame.zip [espacios] .exe
    * fantasy.scr
    * hello.pif
    * icqcrack.exe
    * matrix.scr
    * mult.exe
    * myfack.pif
    * mylove.pif
    * mymusic.pif
    * mynewphoto.zip [espacios] .exe
    * newvirus.exe
    * pinguin5.exe
    * rulezzz.scr
    * you the best.scr

Cuando el usuario inicia una sesión del ICQ, el gusano envía alguno de los siguientes mensajes. Cuando el usuario pincha el enlace del mensaje comienza a descargarse una copia del virus.

    * about Saddam Hussein http:/ /[enlace]
    * fun game http:/ /[enlace] :/-)))
    * funy game http:/ /[enlace] =)
    * game http:/ /[enlace] :/-)
    * happy x-mas http:/ /[enlace] !
    * http:/ /[enlace]
    * http:/ /[enlace]
    * lol http:/ /[enlace]
    * merry-christmas http:/ /[enlace] !!!
    * sex on mars http:/ /[enlace] LOL
    * shit!!! http:/ /[enlace]
    * view my postcard http:/ /[enlace]

Donde [enlace] es alguno de los siguientes dominios:

    * benjafieldsracingclub .co .uk
    * eastcoastchoons .co .uk
    * ford-econoline .com
    * forum .absoluteinsight .net
    * hypnobirthing .co .uk
    * indiehangout .net
    * innerquest .asso .fr
    * overcoming-x .org .ru
    * piercedforum .us
    * s88458503 .onlinehome .us
    * simplydv .co .uk
    * spiritkin .net

Descarga de alguno de los siguientes sitios, un componente troyano de acceso remoto por puerta trasera (backdoor):

    * foxalpha .com
    * frenchconnexion .org
    * hidden-agenda .co .uk
    * hooping .org
    * hypnobirthing .co .uk
    * idiotica .co .uk
    * imogenheap .co .uk
    * knutsfordcricket .co .uk
    * lancer .com .ru
    * newgenerationcomics .net
    * overcoming-x .org .ru
    * petrucciforum .com
    * ra-kbr .ru
    * ribaforada .net
    * stahlhammer .org
    * strikenet .us
    * sundayriders .co .uk
    * supermantv .net
    * xprizenews .org
    * yamamizuryu .org

Este componente es identificado como una variante del troyano "Surila", también identificado como "Nemog".

Modifica el archivo HOSTS para que el usuario infectado no pueda acceder a los sitios de actualización de porgramas antivirus:

    * avp .com
    * ca .com
    * customer .symantec .com
    * dispatch .mcafee .com
    * download .mcafee .com
    * downloads1 .kaspersky-labs .com
    * downloads2 .kaspersky-labs .com
    * downloads3 .kaspersky-labs .com
    * downloads4 .kaspersky-labs .com
    * downloads-eu1 .kaspersky-labs .com
    * downloads-us1 .kaspersky-labs .com
    * f-secure .com
    * kaspersky .com
    * kaspersky-labs .com
    * liveupdate .symantec .com
    * liveupdate .symantecliveupdate .com
    * mast .mcafee .com
    * mcafee .com
    * my-etrust .com
    * nai .com
    * networkassociates .com
    * rads .mcafee .com
    * secure .nai .com
    * securityresponse .symantec .com
    * sophos .com
    * symantec .com
    * trendmicro .com
    * update .symantec .com
    * updates .symantec .com
    * us .mcafee .com
    * viruslist .com
    * viruslist .com
    * www .avp .com
    * www .ca .com
    * www .f-secure .com
    * www .kaspersky .com
    * www .mcafee .com
    * www .my-etrust .com
    * www .nai .com
    * www .networkassociates .com
    * www .sophos .com
    * www .symantec .com
    * www .trendmicro .com
    * www .viruslist .com

El gusano intenta finalizar los procesos activos relacionados con los siguientes nombres (corresponden a antivirus, cortafuegos, y otros programas de seguridad):

    * _AVP32.EXE
    * _AVPCC.EXE
    * _AVPM.EXE
    * ACKWIN32.EXE
    * ADAWARE.EXE
    * ADVXDWIN.EXE
    * AGENTSVR.EXE
    * AGENTW.EXE
    * ALERTSVC.EXE
    * ALEVIR.EXE
    * ALOGSERV.EXE
    * AMON9X.EXE
    * ANTI-TROJAN.EXE
    * ANTIVIRUS.EXE
    * ANTS.EXE
    * APIMONITOR.EXE
    * APLICA32.EXE
    * APVXDWIN.EXE
    * ARR.EXE
    * ATCON.EXE
    * ATGUARD.EXE
    * ATRO55EN.EXE
    * ATUPDATER.EXE
    * ATWATCH.EXE
    * AU.EXE
    * AUPDATE.EXE
    * AUTODOWN.EXE
    * AUTO-PROTECT.NAV80TRY.EXE
    * AUTOTRACE.EXE
    * AUTOUPDATE.EXE
    * AVCONSOL.EXE
    * AVE32.EXE
    * AVGCC32.EXE
    * AVGCTRL.EXE
    * AVGNT.EXE
    * AVGSERV.EXE
    * AVGSERV9.EXE
    * AVGUARD.EXE
    * AVGW.EXE
    * AVKPOP.EXE
    * AVKSERV.EXE
    * AVKSERVICE.EXE
    * AVKWCTl9.EXE
    * AVLTMAIN.EXE
    * AVNT.EXE
    * AVP.EXE
    * AVP32.EXE
    * AVPCC.EXE
    * AVPDOS32.EXE
    * AVPM.EXE
    * AVPTC32.EXE
    * AVPUPD.EXE
    * AVSCHED32.EXE
    * AVSYNMGR.EXE
    * AVWIN95.EXE
    * AVWINNT.EXE
    * AVWUPD.EXE
    * AVWUPD32.EXE
    * AVWUPSRV.EXE
    * AVXMONITOR9X.EXE
    * AVXMONITORNT.EXE
    * AVXQUAR.EXE
    * BACKWEB.EXE
    * BARGAINS.EXE
    * BD_PROFESSIONAL.EXE
    * BEAGLE.EXE
    * BELT.EXE
    * BIDEF.EXE
    * BIDSERVER.EXE
    * BIPCP.EXE
    * BIPCPEVALSETUP.EXE
    * BISP.EXE
    * BLACKD.EXE
    * BLACKICE.EXE
    * BLSS.EXE
    * BOOTCONF.EXE
    * BOOTWARN.EXE
    * BORG2.EXE
    * BPC.EXE
    * BRASIL.EXE
    * BS120.EXE
    * BUNDLE.EXE
    * BVT.EXE
    * CCAPP.EXE
    * CCEVTMGR.EXE
    * CCPXYSVC.EXE
    * CDP.EXE
    * CFD.EXE
    * CFGWIZ.EXE
    * CFIADMIN.EXE
    * CFIAUDIT.EXE
    * CFINET.EXE
    * CFINET32.EXE
    * Claw95.EXE
    * CLAW95CF.EXE
    * CLEAN.EXE
    * CLEANER.EXE
    * CLEANER3.EXE
    * CLEANPC.EXE
    * CLICK.EXE
    * CMD32.EXE
    * CMESYS.EXE
    * CMGRDIAN.EXE
    * CMON016.EXE
    * CONNECTIONMONITOR.EXE
    * CPD.EXE
    * CPF9X206.EXE
    * CPFNT206.EXE
    * CTRL.EXE
    * CV.EXE
    * CWNB181.EXE
    * CWNTDWMO.EXE
    * d3dupdate.exe
    * DATEMANAGER.EXE
    * DCOMX.EXE
    * DEFALERT.EXE
    * DEFSCANGUI.EXE
    * DEFWATCH.EXE
    * DEPUTY.EXE
    * DLLCACHE.EXE
    * DLLREG.EXE
    * DOORS.EXE
    * DPF.EXE
    * DPFSETUP.EXE
    * DPPS2.EXE
    * DRWATSON.EXE
    * DRWEB32.EXE
    * DRWEBUPW.EXE
    * DSSAGENT.EXE
    * DVP95.EXE
    * DVP95_0.EXE
    * ECENGINE.EXE
    * EFPEADM.EXE
    * EMSW.EXE
    * ENT.EXE
    * ESAFE.EXE
    * ESCANH95.EXE
    * ESCANHNT.EXE
    * ESCANV95.EXE
    * ESPWATCH.EXE
    * ETHEREAL.EXE
    * ETRUSTCIPE.EXE
    * EVPN.EXE
    * EXANTIVIRUS-CNET.EXE
    * EXE.AVXW.EXE
    * EXPERT.EXE
    * EXPLORE.EXE
    * F-AGNT95.EXE
    * F-AGOBOT.EXE
    * FAMEH32.EXE
    * FAST.EXE
    * FCH32.EXE
    * FIH32.EXE
    * FINDVIRU.EXE
    * FIREWALL.EXE
    * FLOWPROTECTOR.EXE
    * FNRB32.EXE
    * F-PROT.EXE
    * FPROT.EXE
    * F-PROT95.EXE
    * FP-WIN.EXE
    * FP-WIN_TRIAL.EXE
    * FRW.EXE
    * FSAA.EXE
    * FSAV.EXE
    * FSAV32.EXE
    * FSAV530STBYB.EXE
    * FSAV530WTBYB.EXE
    * FSAV95.EXE
    * FSGK32.EXE
    * FSM32.EXE
    * FSMA32.EXE
    * FSMB32.EXE
    * F-STOPW.EXE
    * fvprotect.exe
    * GATOR.EXE
    * GBMENU.EXE
    * GBPOLL.EXE
    * GENERICS.EXE
    * GfxAcc.exe
    * GMT.EXE
    * GUARD.EXE
    * GUARDDOG.EXE
    * HACKTRACERSETUP.EXE
    * HBINST.EXE
    * HBSRV.EXE
    * HIJACKTHIS.EXE
    * HOTACTIO.EXE
    * HOTPATCH.EXE
    * HTLOG.EXE
    * HTPATCH.EXE
    * HWPE.EXE
    * hxdef.exe
    * HXDL.EXE
    * HXIUL.EXE
    * IAMAPP.EXE
    * IAMSERV.EXE
    * IAMSTATS.EXE
    * IBMASN.EXE
    * IBMAVSP.EXE
    * ICLOAD95.EXE
    * ICLOADNT.EXE
    * ICMON.EXE
    * ICSSUPPNT.EXE
    * ICSUPP95.EXE
    * ICSUPPNT.EXE
    * IDLE.EXE
    * IEDLL.EXE
    * IEDRIVER.EXE
    * IFACE.EXE
    * IFW2000.EXE
    * INETLNFO.EXE
    * INFUS.EXE
    * INFWIN.EXE
    * INIT.EXE
    * INTDEL.EXE
    * INTREN.EXE
    * IOMON98.EXE
    * IPARMOR.EXE
    * IRIS.EXE
    * ISASS.EXE
    * ISRV95.EXE
    * ISTSVC.EXE
    * JAMMER.EXE
    * jammer2nd.exe
    * JDBGMRG.EXE
    * JEDI.EXE
    * KAVLITE40ENG.EXE
    * KAVPERS40ENG.EXE
    * KAVPF.EXE
    * KEENVALUE.EXE
    * KERIO-PF-213-EN-WIN.EXE
    * KERIO-WRL-421-EN-WIN.EXE
    * KERIO-WRP-421-EN-WIN.EXE
    * KERNEL32.EXE
    * KILLPROCESSSETUP161.EXE
    * LAUNCHER.EXE
    * LDNETMON.EXE
    * LDPRO.EXE
    * LDPROMENU.EXE
    * LDSCAN.EXE
    * LNETINFO.EXE
    * LOADER.EXE
    * LOCALNET.EXE
    * LOCKDOWN.EXE
    * LOCKDOWN2000.EXE
    * LOOKOUT.EXE
    * LORDPE.EXE
    * LSETUP.EXE
    * LUALL.EXE
    * LUAU.EXE
    * LUCOMSERVER.EXE
    * LUINIT.EXE
    * LUSPT.EXE
    * MAPISVC32.EXE
    * MCAGENT.EXE
    * MCMNHDLR.EXE
    * MCSHIELD.EXE
    * MCTOOL.EXE
    * MCUPDATE.EXE
    * MCVSRTE.EXE
    * MCVSSHLD.EXE
    * MD.EXE
    * MFIN32.EXE
    * MFW2EN.EXE
    * MFWENG3.02D30.EXE
    * MGAVRTCL.EXE
    * MGAVRTE.EXE
    * MGHTML.EXE
    * MGUI.EXE
    * MINILOG.EXE
    * MMOD.EXE
    * MONITOR.EXE
    * MOOLIVE.EXE
    * MOSTAT.EXE
    * MPFAGENT.EXE
    * MPFSERVICE.EXE
    * MPFTRAY.EXE
    * MRFLUX.EXE
    * MSAPP.EXE
    * MSBB.EXE
    * MSBLAST.EXE
    * MSCACHE.EXE
    * MSCCN32.EXE
    * MSCMAN.EXE
    * MSCONFIG.EXE
    * MSDM.EXE
    * MSDOS.EXE
    * MSIEXEC16.EXE
    * MSINFO32.EXE
    * MSLAUGH.EXE
    * MSMGT.EXE
    * MSMSGRI32.EXE
    * MSSMMC32.EXE
    * MSSYS.EXE
    * MSVXD.EXE
    * MU0311AD.EXE
    * MWATCH.EXE
    * N32SCANW.EXE
    * NAV.EXE
    * NAVAP.NAVAPSVC.EXE
    * NAVAPSVC.EXE
    * NAVAPW32.EXE
    * NAVDX.EXE
    * NAVENGNAVEX15.NAVLU32.EXE
    * NAVLU32.EXE
    * NAVNT.EXE
    * NAVSTUB.EXE
    * NAVW32.EXE
    * NAVWNT.EXE
    * NC2000.EXE
    * NCINST4.EXE
    * NDD32.EXE
    * NEOMONITOR.EXE
    * NEOWATCHLOG.EXE
    * NETARMOR.EXE
    * NETD32.EXE
    * NETINFO.EXE
    * NETMON.EXE
    * NETSCANPRO.EXE
    * NETSPYHUNTER-1.2.EXE
    * NETUTILS.EXE
    * NISSERV.EXE
    * NISUM.EXE
    * NMAIN.EXE
    * NOD32.EXE
    * NORMIST.EXE
    * NORTON_INTERNET_SECU_3.0_407.EXE
    * NOTSTART.EXE
    * NPF40_TW_98_NT_ME_2K.EXE
    * NPFMESSENGER.EXE
    * NPROTECT.EXE
    * NPSCHECK.EXE
    * NPSSVC.EXE
    * NSCHED32.EXE
    * NSSYS32.EXE
    * NSTASK32.EXE
    * NSUPDATE.EXE
    * NT.EXE
    * NTRTSCAN.EXE
    * NTXconfig.EXE
    * NUI.EXE
    * NUPGRADE.EXE
    * NVARCH16.EXE
    * NVC95.EXE
    * NWINST4.EXE
    * NWSERVICE.EXE
    * NWTOOL16.EXE
    * OLLYDBG.EXE
    * ONSRVR.EXE
    * OPTIMIZE.EXE
    * OSTRONET.EXE
    * OTFIX.EXE
    * OUTPOSTINSTALL.EXE
    * OUTPOSTPROINSTALL.EXE
    * PADMIN.EXE
    * PANIXK.EXE
    * PATCH.EXE
    * PAVCL.EXE
    * PAVPROXY.EXE
    * PAVSCHED.EXE
    * PAVW.EXE
    * PCC2002S902.EXE
    * PCC2K_76_1436.EXE
    * PCCIOMON.EXE
    * PCCNTMON.EXE
    * PCCWIN97.EXE
    * PCCWIN98.EXE
    * PCDSETUP.EXE
    * PCFWALLICON.EXE
    * PCIP10117_0.EXE
    * PCSCAN.EXE
    * PDSETUP.EXE
    * PENIS.EXE
    * PERISCOPE.EXE
    * PERSFW.EXE
    * PERSWF.EXE
    * PF2.EXE
    * PFWADMIN.EXE
    * PGMONITR.EXE
    * PINGSCAN.EXE
    * PLATIN.EXE
    * POP3TRAP.EXE
    * POPROXY.EXE
    * POPSCAN.EXE
    * PORTDETECTIVE.EXE
    * PORTMONITOR.EXE
    * POWERSCAN.EXE
    * PPINUPDT.EXE
    * PPTBC.EXE
    * PPVSTOP.EXE
    * PRIZESURFER.EXE
    * PRMT.EXE
    * PRMVR.EXE
    * PROCDUMP.EXE
    * PROCESSMONITOR.EXE
    * PROCEXPLORERV1.0.EXE
    * PROGRAMAUDITOR.EXE
    * PROPORT.EXE
    * PROTECTX.EXE
    * PSPF.EXE
    * PURGE.EXE
    * PUSSY.EXE
    * PVIEW95.EXE
    * QCONSOLE.EXE
    * QSERVER.EXE
    * RAPAPP.EXE
    * RAV7.EXE
    * RAV7WIN.EXE
    * RAV8WIN32ENG.EXE
    * RAVMOND.exe
    * RAY.EXE
    * RB32.EXE
    * RCSYNC.EXE
    * REALMON.EXE
    * REGED.EXE
    * RESCUE.EXE
    * RESCUE32.EXE
    * RRGUARD.EXE
    * RSHELL.EXE
    * RTVSCAN.EXE
    * RTVSCN95.EXE
    * RULAUNCH.EXE
    * RUNDLL.EXE
    * RUNDLL16.EXE
    * RUXDLL32.EXE
    * SAFEWEB.EXE
    * SAHAGENT.EXE
    * SAVE.EXE
    * SAVENOW.EXE
    * SBSERV.EXE
    * SC.EXE
    * SCAM32.EXE
    * SCAN32.EXE
    * SCAN95.EXE
    * SCANPM.EXE
    * SCRSCAN.EXE
    * SCRSVR.EXE
    * SD.EXE
    * SERV95.EXE
    * SERVLCE.EXE
    * SERVLCES.EXE
    * SETUP_FLOWPROTECTOR_US.EXE
    * SETUPVAMEEVAL.EXE
    * SFC.EXE
    * SGSSFW32.EXE
    * SH.EXE
    * SHELLSPYINSTALL.EXE
    * SHN.EXE
    * SHOWBEHIND.EXE
    * SMC.EXE
    * SMS.EXE
    * SMSS32.EXE
    * SOAP.EXE
    * SOFI.EXE
    * SPERM.EXE
    * SPF.EXE
    * SPHINX.EXE
    * SPOOLCV.EXE
    * SPOOLSV32.EXE
    * SPYXX.EXE
    * SREXE.EXE
    * SRNG.EXE
    * SS3EDIT.EXE
    * SSG_4104.EXE
    * SSGRATE.EXE
    * ssgrate.exe
    * ST2.EXE
    * START.EXE
    * STCLOADER.EXE
    * SUPFTRL.EXE
    * SUPPORT.EXE
    * SUPPORTER5.EXE
    * SVC.EXE
    * SVCHOSTC.EXE
    * SWEEP95.EXE
    * SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
    * SYMPROXYSVC.EXE
    * SYMTRAY.EXE
    * SYSEDIT.EXE
    * SYSTEM.EXE
    * SYSTEM32.EXE
    * Systra.exe
    * SYSUPD.EXE
    * sysxp.exe
    * TASKMO.EXE
    * TASKMON.EXE
    * TAUMON.EXE
    * TBSCAN.EXE
    * TC.EXE
    * TCA.EXE
    * TCM.EXE
    * TDS2-98.EXE
    * TDS2-NT.EXE
    * TDS-3.EXE
    * TEEKIDS.EXE
    * TFAK.EXE
    * TFAK5.EXE
    * TGBOB.EXE
    * TITANIN.EXE
    * TITANINXP.EXE
    * TRACERT.EXE
    * TRICKLER.EXE
    * TRJSCAN.EXE
    * TRJSETUP.EXE
    * TROJANTRAP3.EXE
    * TSADBOT.EXE
    * TVMD.EXE
    * TVTMD.EXE
    * UNDOBOOT.EXE
    * UPDAT.EXE
    * UPDATE.EXE
    * UPGRAD.EXE
    * UTPOST.EXE
    * VBCMSERV.EXE
    * VBCONS.EXE
    * VBUST.EXE
    * VBWIN9X.EXE
    * VBWINNTW.EXE
    * VCSETUP.EXE
    * VET32.EXE
    * VET95.EXE
    * VETTRAY.EXE
    * VFSETUP.EXE
    * VIR-HELP.EXE
    * VIRUSMDPERSONALFIREWALL.EXE
    * VisualGuard.exe
    * VNLAN300.EXE
    * VNPC3000.EXE
    * VPC32.EXE
    * VPC42.EXE
    * VPFW30S.EXE
    * VPTRAY.EXE
    * VSCAN40.EXE
    * VSCENU6.02D30.EXE
    * VSCHED.EXE
    * VSECOMR.EXE
    * VSHWIN32.EXE
    * VSISETUP.EXE
    * VSMAIN.EXE
    * VSMON.EXE
    * VSSTAT.EXE
    * VSWIN9XE.EXE
    * VSWINNTSE.EXE
    * VSWINPERSE.EXE
    * W32DSM89.EXE
    * W9X.EXE
    * WATCHDOG.EXE
    * WEBDAV.EXE
    * WEBSCANX.EXE
    * WEBTRAP.EXE
    * WFINDV32.EXE
    * WGFE95.EXE
    * WHOSWATCHINGME.EXE
    * WIMMUN32.EXE
    * WIN32.EXE
    * WIN32US.EXE
    * WINACTIVE.EXE
    * WIN-BUGSFIX.EXE
    * WINDOW.EXE
    * WINDOWS.EXE
    * WININETD.EXE
    * WININIT.EXE
    * WININITX.EXE
    * WINLOGIN.EXE
    * WINMAIN.EXE
    * WINPPR32.EXE
    * WINRECON.EXE
    * WINSSK32.EXE
    * WINSTART.EXE
    * WINSTART001.EXE
    * WINTSK32.EXE
    * WINUPDATE.EXE
    * winxp.exe
    * WKUFIND.EXE
    * WNAD.EXE
    * WNT.EXE
    * WRADMIN.EXE
    * WRCTRL.EXE
    * WUPDATER.EXE
    * WUPDT.EXE
    * WYVERNWORKSFIREWALL.EXE
    * XPF202EN.EXE
    * ZAPRO.EXE
    * ZAPSETUP3001.EXE
    * ZATUTOR.EXE
    * ZONALM2601.EXE
    * ZONEALARM.EXE

También puede borrar determinados fichero pertenecientes a otros códigos maliciosos:

    * backdoor.rbot.gen.exe
    * backdoor.rbot.gen_(17).exe
    * dailin.exe
    * msssss.exe
    * rasmngr.exe
    * taskmanagr.exe
    * wowpos32.exe
    * wuamga.exe
    * wuamgrd.exe

Nombres de Ficheros Adjuntos (virus que llegan por correo)

    * shit.zip
    * shitpix.zip
    * photos.zip
    * photo[primer nombre].jpg [espacios] .pif
    * merry/-christmas.scr
    * nude_[primer nombre].jpg [espacios] .pif
    * fotos.zip
    * images.zip
    * flashepostcard.exe
    * flash x/-mas game.exe
    * ePostCard.jpg [espacios] cpl
    * christmasscreenfrom
    * document.jpg [espacios] .pif
    * [primer nombre]_nude.pif
    * [primer nombre]_with_flowers.jpg [espacios] .pif [espacios] .pif
    * [primer nombre]_joke.jpg [espacios] .pif
    * [primer nombre]_dancing.jpg [espacios] .pif
    * [primer nombre].jpg [espacios] .pif
    * [primer nombre].jpg [espacios] .cpl
    * x/-mas.jpg [espacios] .pif

Asunto del mensaje (virus que llegan por correo)

    * Merry/-Christmas from [primer nombre]
    * Christmas Greeting Card Waiting For You
    * Christmas ePostCard
    * Christmas ePostCard from [primer nombre]
    * Christmas card
    * An e/-postcard is waiting for you
    * Merry/-Christmas!
El pasado son solo recuerdos, el futuro son solo sueños