Asunto: Hello... You'r Randomly Chosen As a Tester...
Datos adjuntos: Regkey.pif y Vbgame.com

(61 Kb los dos archivos sumados)

Cuando el adjunto es ejecutado por el usuario (doble clic), el gusano despliega un formulario que aparenta tratar sobre un juego (basado en el alfabeto), para el cuál usted ha sido "seleccionado" al azar como beta-tester. Mientras eso sucede, el virus realiza lo siguiente en segundo plano:

a. Genera copias de si mismo en la carpeta raíz con los siguientes nombres:

C:\Regkey.pif 
C:\Vbgame.com 
C:\Registry.com

b. Agrega lo siguiente al registro, para autoejecutarse en próximos reinicios:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
*Alphabet = C:\registry.com

c. Se envía por correo, utilizando las facilidades del Microsoft Outlook:

Asunto: Hello... You'r Randomly Chosen As a Tester...
Texto: Check out this new game from www.tucows.com..
Archivos adjuntos: Regkey.pif y Vbgame.com

En la ventana del Outlook se presentan los iconos de los adjuntos (estándares de Windows), con la siguiente leyenda:

Alphabet Game
Registration Key

En el formulario que es desplegado mientras el virus realiza las acciones antes mencionadas, se muestra un icono para un ejecutable llamado Clickme2x.com. Si damos doble clic sobre él, el gusano ejecuta dicho archivo, el cuál está embebido en su propio código, y por lo tanto no está visible. Cuando esto ocurre, Clickme2x.com crea los siguientes archivos en la carpeta raíz:

C:\Click2X.com

Es un virus que infecta la plantilla normal de Word (Normal.dot). Los antivirus lo identifican como W32/Alcarys.C o W32/Palco.A

C:\Normal.tmp
C:\Xploit.txt

Contienen el código del virus de macro

C:\V.reg
C:\W.reg

Archivos temporales borrados luego por el propio gusano.

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por:

W32.Alcarys.C
W32.Alcarys.D

4. Repare los archivos detectados como W97.Alcarys.C

5. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\Normal.tmp
C:\Xploit.txt
C:\V.reg
C:\W.reg
C:\Regkey.pif 
C:\Vbgame.com 
C:\Registry.com

6. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

8. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

*Alphabet,  C:\registry.com

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Sobre la infección de documentos de Word

Puede utilizar F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm

Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.

Referencias:

VSantivirus No. 602 - 1/mar/02
W32/Alcarys.C (W32/Palco.A). Falso anti-macros maliciosos
http://www.vsantivirus.com/palco-a.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com