Aparecido en marzo de 2002, es un gusano de correo electrónico escrito en Visual Basic con un tamaño de 122880 bytes. Pretende tener la apariencia de una actualización de seguridad de Microsoft. Generalmente llega como un archivo adjunto de nombre Q216309.exe con el siguiente mensaje:

DE: Microsoft Corporation Security Center
mailto:rdquest12@microsoft.com
Para: Microsoft Customer
Asunto: Internet Security Update
Archivo Adjunto: q216309.exe

Microsoft Customer,

this is the latest version of security update, the update which
eliminates all known security vulnerabilities affecting Internet
Explorer and MS Outlook/Express as well as six new
vulnerabilities, and is discussed in Microsoft Security Bulletin
MS02-005. Install now to protect your computer from these
vulnerabilities, the most serious of which could allow an
attacker to run code on your computer.

Description of several well-know vulnerabilities:
- "Incorrect MIME Header Can Cause IE to Execute E-mail
Attachment" vulnerability. If a malicious user sends an affected
HTML e-mail or hosts an affected e-mail on a Web site, and a
user opens the e-mail or visits the Web site, Internet Explorer
automatically runs the executable on the user's computer.

- A vulnerability that could allow an unauthorized user to learn
the location of cached content on your computer. This could
enable the unauthorized user to launch compiled HTML Help (.chm)
files that contain shortcuts to executables, thereby enabling
the unauthorized user to run the executables on your computer.

- A new variant of the "Frame Domain Verification" vulnerability
could enable a malicious Web site operator to open two browser
windows, one in the Web site's domain and the other on your
local file system, and to pass information from your computer to
the Web site.

- CLSID extension vulnerability. Attachments which end with a
CLSID file extension do not show the actual full extension of
the file when saved and viewed with Windows Explorer. This
allows dangerous file types to look as though they are simple,
harmless files - such as JPG or WAV files - that do not need to
be blocked.

System requirements:

Versions of Windows no earlier than Windows 95.
This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01

How to install

Run attached file q216309.exe

How to use

You don't need to do anything after installing this item.
For more information about these issues, read Microsoft Security
Bulletin MS02-005, or visit link below.
http://www.microsoft.com/windows/ie/downloads/critical/default.asp
If you have some questions about this article contact us at
rdquest12@microsoft.com
Thank you for using Microsoft products.
With friendly greetings,

MS Internet Security Center.

----------------------------------------
----------------------------------------

Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation.

Debido a errores en el código del gusano este mensaje podría no visualizarse por completo en algunos sistemas.

El cuerpo del mensaje describe una vulnerabilidad de Microsoft e intenta que el usuario ejecute el archivo adjunto en cuyo caso, Gibe muestra una ventana de diálogo preguntando si se desea instalar la actualización:

“This will install Microsoft Security Update”
Do you wish to continue?
YES NO

Al pulsar en “Yes” se muestra una ventana con una barra de proceso y al final aparece un mensaje informando que la actualización se ha instalado:

“This Update has been successfully installed”
OK

Si el usuario hace clic en “OK” el gusano se instala en el equipo sin abrir ningún mensaje en pantalla.

Si se ejecuta sobre un sistema ya infectado aparece el siguiente texto:

“This update does not need to be installed on this system”

Gibe agrega la siguiente clave de registro:

[HKEY_LOCAL_MACHINE] "Installed" = "... by Begbie"

También descarga varios archivos ejecutables:

%WinDir%.exe - copia del fichero adjunto (dropper)
%WinDir%.exe - componente para el envío masivo
%WinDir%.exe - componente para la búsqueda de direcciones de correo
%WinDir%.exe - componente backdoor
%WinSysDir%.dll - copia del dropper
%WinSysDir%.ocx - Librería estándar Winsock

El componente encargado de buscar direcciones de correo crea también un archivo de nombre 02_N803.DAT en el directorio de Windows en el cual almacena todos los e-mails encontrados.

En el registro de Windows Gibe añade las siguientes claves para que sus componentes de envío masivo y backdoor se auto-ejecuten:

[HKEY_LOCAL_MACHINE]
"3DfxAcc" = "%WinDir%.exe"
"LoadDBackUp" = "%WinDir%.exe"

Para eliminar el gusano es suficiente con borrar todos los componentes instalados en el sistema infectado. Si algunos de los componentes se encuentran en modo “bloqueado”, éstos deberán borrarse desde DOS puro (en el caso de un sistema Windows 9x) o renombrarse con una extensión diferente (por ejemplo .EXA) e inmediatamente reiniciar el sistema (en caso de sistemas basados en NT). Después de reiniciar, los componentes renombrados podrán ser eliminados.