|
VSantivirus No. 590 - Año 6 - Domingo 17 de febrero de 2002
W32/Alcarys. Varios adjuntos en un mismo mensaje
http://www.vsantivirus.com/alcarys.htm
Nombre: W32/Alcarys
Tipo: Gusano de Internet
Alias: W32.Alcarys@mm
Fecha: 14/feb/02
Plataforma: Windows
Tamaño: 12,288 bytes
Este gusano, además de enviarse masivamente a través del correo electrónico, usando todos los contactos de la libreta de direcciones del Outlook, infecta documentos creados con
Word (W97M/Pacol.A), compromete la seguridad del sistema deshabilitando la configuración de seguridad de Word 2000 y además sobrescribe los archivos con extensiones
".htm", ".scr", ".com", y
"exe".
Pacol.A contiene una destructiva rutina que sobrescribe, dejándolos irrecuperables, archivos con extensiones
.DOC, .TXT, .WRI, y .PDF.
El mensaje conque W32/Alcarys se distribuye, tiene estas características:
Asunto: sounds of sex and other stuffs
Nombres de los adjuntos (los cuatro en el mismo mensaje):
SexSound.exe
Readme.txt
http:/ /www.EcstasyRUs.com
syra.scr
Si el usuario ejecuta el adjunto (basta intentar abrirlo con un doble clic), las siguientes acciones son llevadas a cabo por el gusano en el sistema afectado:
1. Inicia el envío de si mismo a todos los contactos de la libreta de direcciones del Outlook, en un mensaje con estas características:
Asunto: sounds of sex and other stuffs
Texto:
....Hear me and my girlfriend moan...We spent yesterday's
night having sex... I've also included a list of haiku, a
cool talking screensaver and a link to a site offering
cheap ecstasy pills.. enjoy..
Adjuntos (los cuatro archivos):
haiku for you.txt (readme.txt)
http:/ /www.EcstasyRUs.com
the cool talking screensaver (syra.scr)
sexsounds.wav (SexSound.exe)
2. Sobrescribe todos los archivos que encuentre con las extensiones
.SCR, .COM, o .EXE.
3. Crea el archivo C:\xxxpasswords.doc, conteniendo el virus de macros
W97M.Pacol.A.
4. Crea el archivo C:\Win.acs, el cuál contiene el código fuente del mismo virus de macros.
5. Sobrescribe todos los archivos encontrados con la extensión
.HTML, con el código necesario para ejecutar al propio gusano.
6. Copia su propio código a estos archivos:
C:\Windows\System\inet.exe
C:\Windows\tmp.tmp
C:\Windows\cmd.com
C:\Windows\opme.co_
C:\SexSound.exe
C:\Autorun.com
C:\Syra.scr
C:\Www.EcstasyRUs.com
7. Crea la siguiente clave del registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
inet = c:\windows\system\inet.exe
Esto hace que se ejecute como servicio en cada reinicio del sistema.
8. Cambia el nombre del usuario registrado como propietario del software instalado por el siguiente:
"alcopaul.ph", y el nombre de la empresa u organización por el de
"syra, the worm".
9. El gusano también es capaz de propagarse por los canales de chat vía mIRC, modificando para ello el archivo
SCRIPT.INI de la carpeta \Mirc, si esta existe.
10. Luego de completar sus acciones, el gusano despliega una ventana de error (circulo rojo con una X blanca), con el siguiente mensaje:
w32.hllp.syra.b by alcopaul
you've been hit by, you've been struck by the smooth criminal, AW!
[ OK ]
Remoción manual del gusano
1. Ejecute uno o más antivirus al día para revisar todos sus discos duros.
2. Borre todos los archivos identificados como W32/Alcarys
3. Abra el Explorador de Windows, y borre cualquiera de estos archivos de su sistema:
C:\Windows\System\inet.exe
C:\Windows\tmp.tmp
C:\Windows\cmd.com
C:\Windows\opme.co_
C:\SexSound.exe
C:\Autorun.com
C:\Syra.scr
C:\Www.EcstasyRUs.com
4. Si posee copia de respaldo, reinstale todos los archivos con extensiones
.SCR, .COM, o .EXE desde su respaldo. Si esto fuera imposible, tal vez deba reinstalar Windows y todas las aplicaciones existentes.
5. Si tiene instalado el programa de chats mIRC, reemplace o borre el archivo \Mirc\Script.ini por una copia limpia desde un respaldo.
6. Reemplace todos los archivos .HTM de su sistema, por los correspondientes a un respaldo limpio si ello fuera posible. Si esto es imposible de cumplir, tal vez deba reinstalar Windows y todas las aplicaciones existentes, o el sistema se mostrará errático, con posibles fallos y cuelgues incluidos.
7. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
6. Pinche sobre la carpeta "RunServices". En el panel de la derecha pinche sobre la entrada
"inet" y "c:\windows\system\inet.exe" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
8. Pinche en la carpeta "CurrentVersion", y en la ventana de la derecha, modifique los siguientes valores por su nombre
(RegisteredOwner), y por el nombre de su empresa si corresponde
(RegisteredOrganization) o déjelo sin texto alguno.
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Relacionados:
VSantivirus No. 565 - 24/ene/02
W97/Pacol.A. Borra archivos .DOC, .TXT, .WRI, y .PDF
http://www.vsantivirus.com/pacol-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|