Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Alcop. Simula ser una animación porno hecha en Flash
 
VSantivirus No. 568 - Año 6 - Domingo 27 de enero de 2002

W32/Alcop. Simula ser una animación porno hecha en Flash

Nombre: W32/Alcop
Tipo: Gusano de Internet
Alias: W32/Alcop@MM
Tamaño: 27,648 bytes
Origen: Manila
Fuente: McAfee

Simulando ser un protector de pantalla pornográfico, hecho con la utilidad Macromedia Flash, este gusano se ha propagado bastante en las últimas horas.

El gusano, una vez en la computadora a la que infecta, se reenvía a todos los contactos de la libreta de direcciones de los programas Outlook y Outlook Express de Microsoft.

Cómo dato anecdótico, el origen de este nuevo virus parece ser Manila, cuna del ya famoso ILOVEYOU o Loveletter, que causara estragos en mayo de 2000.

El mensaje con el virus, se presenta de esta forma:

Asunto: Porno still sells

Texto:
Here's a screen saver containing a nude image of Aria Giovanni...
For your viewing pleasure.

Adjunto: porno.scr (27,648 bytes)

El icono simula ser una animación de Flash

El icono de este adjunto es similar al de las animaciones generadas con Macromedia Flash. El archivo está comprimido con la utilidad UPX PE packer. Si se ejecuta (doble clic sobre él), se mostrará una ventana con el título "For your viewing pleasure...." y contenido pornográfico.

Despliega imágenes pornográficas

Cuando ello ocurre, el virus se copia al directorio raíz de la unidad C: (C:\PORNO.SCR), modificando además el registro para ejecutarse automáticamente en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"by pornoman" = c:\porno.scr

Durante todas estas acciones anteriores, el virus está enviándose a través del Outlook utilizando una interface MAPI.

Cómo borrar manualmente el virus

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee PORNO.SCR y pulse ENTER

3. Borre PORNO.SCR si aparece

4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

6. Pinche sobre la carpeta "RunServices". En el panel de la derecha pinche sobre la entrada "by pornoman"     c:\porno.scr, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm


Glosario:


MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS