Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Ameter. Asunto: Brigada Ocho Bitmap Tools
 
VSantivirus No. 810 - Año 6 - Jueves 26 de setiembre 2002

 W32/Ameter. Asunto: Brigada Ocho Bitmap Tools
http://www.vsantivirus.com/ameter.htm

Nombre: W32/Ameter
Tipo: Gusano de Internet
Alias: W32.Ameter@m
Fecha: 24/set/02
Tamaño: 10.752 bytes
Plataforma: Windows 32-bits

Este gusano, escrito en Borland C++ 6.0, requiere la presencia de las librerías pertenecientes a ese lenguaje, para funcionar.

Cuando se ejecuta, es capaz de sobrescribir todos los archivos con extensión .EXE de la carpeta de Windows, excepto EMM386.EXE y SETVER.EXE. La carpeta de Windows puede ser 'C:\Windows' en Windows 9x/ME y XP, o 'C:\WinNT' en Windows NT/2000.

Es capaz de reenviarse a una serie de direcciones predefinidas en el código del gusano, en un mensaje con las siguientes características:

Asunto: Brigada Ocho Bitmap Tools
 Texto:
Hy [nombre del destinatario]
I was hacked this Tools about Brigada Ocho.
This Tools can change your Login Bitmap on
Windows Start this Very funny tools, and
selected you questions to.
 Datos adjuntos: [nombre del archivo del gusano]

El nombre del adjunto puede variar.

Si el gusano se ejecuta en Windows NT, 2000 o XP, se agrega la siguiente clave al registro:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\RunServices
brigadaNT = [nombre del archivo del gusano]

En Windows 95, 98 y Me, agrega la siguiente:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
brigadaWin = [nombre del archivo del gusano]

Luego, examina si existe la siguiente clave en el registro:

HKEY_LOCAL_MACHINE\Software\brigada\Install

Si existe, no hace nada más. En caso contrario el gusano la crea, y también crea la siguiente clave en el registro:

HKEY_LOCAL_MACHINE\Software\Energy\Install

Si no detecta las funciones necesarias (rutinas MAPI), que necesita para enviarse por e-mail, muestra el siguiente mensaje:

Brigada Ocho Bitmap Tools
This program is a New Bitmap Styler
by Energy a Member of Brigada Ocho
[   OK   ]

Y luego finaliza. 

En caso contrario, si las encuentra, muestra este otro mensaje:

Brigada Ocho Bitmap Tools
Hy, Brigada Ocho send News to you...
[   OK   ]

Luego, examina si cierto nombre existe en la libreta de direcciones de la máquina infectada.

Si el nombre existe, envía el siguiente mensaje infectado:

Asunto: Brigada Ocho Bitmap Tools
 Texto:
Hy [nombre del destinatario]
I was hacked this Tools about Brigada Ocho.
This Tools can change your Login Bitmap on
Windows Start this Very funny tools, and
selected you questions to.
 Datos adjuntos: [nombre del archivo del gusano]

Luego, muestra una ventana con este mensaje:

Brigada Ocho Bitmap Tools
Thanks for Enjoy us
[   OK   ]

Si el nombre buscado en la libreta, no existe, el gusano muestra el siguiente mensaje:

Brigada Ocho Bitmap Tools
Please Install first vb6 tools
[   OK   ]

Y luego, sobrescribe todos los archivos .EXE de la carpeta de Windows (C:\Windows, C:\WinNT), excepto EMM386.EXE y SETVER.EXE.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Si el gusano borró los archivos descriptos, Windows no podrá ser reiniciado, debiéndose reinstalar. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT (o REGEDT32) y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

3. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la entrada que aparezca de las siguientes, de acuerdo al sistema operativo instalado:

brigadaNT
brigadaWin

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS