I-Worm.Aphex, W32/Aphex@mm, W32/Explorer@mm

Aphex es un gusano reportado el 8 de Abril del 2002, de alta propagación masiva vía correo electrónico que se distribuye con un archivo anexado de nombre Psecure20x-cgi-install.version.6.01.bin.hx.com y a la vez es un troyano backdoor de control remoto. El Asunto y texto del mensaje son tan solo un signo de puntuación (.)

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP 

Tiene una extensión de 312 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de los Antivirus:

Cuando el archivo es ejecutado se auto-copia de la siguiente forma:

\%System%\Explorer.exe
\%System%\Psecure20x-cgi-install.version.6.01.bin.hx.com

Siendo %System% una variable en la carpeta C:\Windows\System o C:\Winnt\System32.

Y para ejecutarse cada vez que se inicie Windows, modifica la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Explorer=C:\WINDOWS\SYSTEM\EXPLORER.EXE

Luego agrega el archivo \%System%\Email.vbs, el mismo que es usado para auto-enviarse a través de la Libreta de Direcciones de Microsoft Outlook.

A continuación el archivo "psecure20x-cgi-install.version6.01.bin.hx.com" es movido a la carpeta C:\System y un archivo de 0 bytes, denominado IPHIST.DAT es insertado en la carpeta desde la cual el archivo fue ejecutado. 

Los archivos APHEX.JPG, HWND32.DLL e INDEX.HTML son grabados en la carpeta C:\System, siendo el archivo INDEX.HTML una página web la misma que se refresca para ejecutar el gusano, mostrando la siguiente caja de diálogo:

Finalmente el gusano se conecta al canal de Chat IRC.DAL.NET a través del puerto 6667 y actuando como una "puerta falsa" (backdoor) puede recibir comandos remotos. Aphex también contiene instrucciones para auto-enviar Mensajes Instantáneos de AOL.

PER ANTIVIRUS® versión 7.4 con registro de virus al 09 de Abril del 2002 detecta y elimina eficientemente este gusano.