|
VSantivirus No. 778 - Año 6 - Domingo 25 de agosto de 2002
W32/Areq. Se propaga desde disquetes como FOTOS.EXE
http://www.vsantivirus.com/areq.htm
Nombre: W32/Areq
Tipo: Virus
Alias: W32.Areq
Fecha: 22/ago/02
Tamaño: 24,835 bytes, 24,576 bytes
Plataforma: Windows 32-bits
Este virus se propaga a través de disquetes, con el nombre de
FOTOS.EXE. En el caso de que se ejecute con este nombre en determinadas fechas (ya pasadas), se realizarían varias acciones, entre ellas una destructiva. Esto ya no es posible, salvo que el reloj del sistema esté mal configurado.
Finalmente, en un sistema infectado pueden existir estos archivos:
A:\Fotos.exe
C:\Windows\_.exe
Al ejecutarlo el usuario desde un disquete como
A:\FOTOS.EXE, el virus crea el archivo C:\WINDOWS\_.EXE, si este no existe.
Si la ejecución de FOTOS.EXE se llevaba a cabo en las siguientes fechas (todas del año 2001),
30 de agosto, 15 de octubre, 15 de noviembre y 2 de
diciembre, el virus intentaba crear un archivo conteniendo determinados textos, o modificaba el archivo
C:\AUTOEXEC.BAT para intentar formatear la unidad de disco C al reiniciarse la computadora.
Las acciones posibles eran:
30 de agosto de 2001: intentaba crear un archivo con extensión
.DLL en la carpeta C:\WINDOWS\ESCRITORIO, con el siguiente
contenido (se incluyen faltas ortográficas):
yacos1980@mixmail.com solo si te quieres salvar
rem ___vas a perder____
rem ___de esta nadie te salva Arequipa - Perú____
rem ___solo para relajarme____
rem _se hacerca el dia de formatear
15 de octubre de 2001: intentaba crear un archivo con extensión .DLL en la carpeta
C:\WINDOWS\ESCRITORIO, con el siguiente contenido:
rem ___vas a perder____
rem ___de esta nadie te salva Arequipa - Perú____
rem ___solo para relajarme____
rem _se hacerca el dia de formatear
15 de noviembre de 2001: intentaba crear un archivo con extensión
.YACOS en la carpeta C:\WINDOWS\ESCRITORIO, con el siguiente contenido:
rem ___Echo Por Yacos____
rem ___Echo en Arequipa - Perú____
rem ___Echo en un momento de Relax____
rem _Muy pronto seras eliminado
2 de diciembre de 2001: modificaba el archivo
C:\AUTOEXEC.BAT con los comandos para formatear la unidad
C.
Actualmente, ninguna de estas acciones se realizará en una computadora infectada, a no ser que el año esté mal configurado y figure como 2001.
Además de ello, en cualquier fecha que se ejecute FOTOS.EXE, el virus modifica el archivo
C:\WINDOWS\WIN.INI en la etiqueta [Windows]:
[Windows]
run=C:\WINDOWS\_.EXE
Al reiniciarse la computadora se ejecuta C:\WINDOWS\_.EXE, el cuál intenta copiarse en cualquier disquete disponible como
A:\FOTOS.EXE.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros y disquetes
3. Borre los archivos detectados como infectados
Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre todas las líneas que contengan el comando FORMAT si ésta existiera:
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
run=C:\WINDOWS\_.EXE
Debe quedar como:
[Windows]
run=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|