El fitxer associat al missatge en realitat és una còpia del cuc W32.Gibe.dam. Un cop més cal recordar la importància de ni tan sols TOCAR qualsevol fitxer associat a un missatge que no hagi estat sol·licitat de forma expressa, fins i tot quan el programa antivíric instal·lat al nostre ordinador o la passarel·la de correu electrònic de la nostra empresa no ens avisi de l'existència d'un virus. En aquest cas, l'autor de l'enviament intenta enganyar als receptors suplantant una adreça suposadament de Microsoft. El missatge ens fa entendre que ens han enviat el fitxer amb els pegats per a l'Internet Explorer i l'Outlook Express del que es parla al butlletí de seguretat de l'empresa de Redmond. Descripció de W32.Gibe.dam El fitxer associat al missatge, Q216309.EXE, està escrit en Visual BASIC. Al moment d'executar-se realitza les següents funcions: 1. En primer lloc, crea els següents fitxers: - \WINDOWS\Q216309.EXE (122.880 bytes). Una còpia completa del codi del cuc.
- \WINDOWS\WTNMSCCD.DLL (122.880 bytes). Una segona còpia del codi del cuc.
- \WINDOWS\BCTOOL.EXE (32.768 bytes). El component del cuc utilitzat per a la difusió del cuc a traves de Microsoft Outlook i SMTP.
- \WINDOWS\GFXACC.EXE (20.480 bytes). Una porta secreta (backdoor) que obre el port 12378.
- \WINDOWS\02_N803.DAT (la mida varia). El fitxer de dades creat pel cuc on emmagatzema les adreces de correu que va trobant.
- \WINDOWS\WINNETW.EXE (20.380 bytes). El component del cuc que cerca adreces de correu i les emmagatzema al fitxer 02_N803.DAT.
El cuc també comprova la possible existència de sistemes connectats a traves de xarxa: a totes les unitats de disc accessibles al sistema infecta intenta localitzar les carpetes d'inici seguint aquestes pautes: - Windows 2000. Als sistemes Windows 2000 s'intenta copiar ell mateix al directori
\Documents and Settings\%Nom_usuari%\Start Menu\ Programs\Startup
de cada unitat de disc. %Nom_usuari% es substituït pel nom de l'usuari connectar al sistema infectat. Per exemple, si l'usuari connectat és l'Administrador, el cuc es copiarà al directori:
\Documents and Settings\Administrador\Start Menu\Programs\ Startup
- Windows 98. En aquests ordinadors, el cuc intenta copiar-se al directori \Windows\Start Menu\Programs\Startup de cada unitat de disc.
- Windows NT. En aquests sistemes, el cuc intenta copiar-se ell mateix al directori \Winnt\Profiles\%Nom_usuari%\Start Menu\Programs\Startup (aquí també %Nom_usuari% es substituït pel nom de l'usuari connectat), a cada unitat de disc.
2. A continuació, el cuc modifica el registre del sistema infectat afegint-hi els següents valors: 3. A continuació, amb BcTool.exe, intenta enviar una còpia del fitxer C:\Windows\Q216309.exe a totes les adreces existents a la llibreta d'adreces de Microsoft Outlook i a totes les adreces existents als fitxers .HTM, .HTML, .ASP i .PHP. Aquestes adreces són enregistrades al fitxer 02_N803.DAT. Instruccions per a eliminar el cuc Esborrar els fitxers creats pel cuc (Q216309.EXE, WTNMSCCD.DLL, BCTOOL.EXE, GFXACC.EXE, 02_N803.DAT i WINNETW.EXE). També cal esborrar les entrades del registre modificades o afegides pel cuc. Més informació W32.Gibe@MM - Symantec
http://www.symantec.com/avcenter/venc/data/w32.gibe@mm.html W32/Gibe@MM - McAfee
http://vil.nai.com/vil/content/v_99377.htm W32/Gibe.A@MM - Norman
http://www.norman.com/virus_info/w32_gibe_a_mm.shtml Avís de Microsoft:
http://www.microsoft.com/technet/treeview/default.asp?url=
/technet/security/virus/alerts/gibe.asp | 
