Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Bezilom.A. Esconde todo el escritorio de Windows
 
VSantivirus No. 606 - Año 6 - Martes 5 de marzo de 2002

 W32/Bezilom.A. Esconde todo el escritorio de Windows
http://www.vsantivirus.com/bezilom-a.htm

Nombre: W32/Bezilom.A
Tipo: Gusano
Alias: WORM_BEZILOM.A, BEZILOM.A, Win32.HLLW.Bezilom, Win32.HLLW.Bezilom.dr, W32/Bezilom-A
Fecha: 1/mar/02
Plataforma: Windows
Tamaño: 143,360 Bytes

Este gusano se propaga escribiéndose a todos los disquetes accedidos por el sistema infectado.

Cuando se ejecuta por primera vez, libera el siguiente archivo con los atributos de oculto (+H):

C:\Windows\Maria.doc [espacios] .exe

[espacios] representa una gran cantidad de espacios vacíos entre las dos extensiones del archivo (.DOC y .EXE, ésta última la verdadera). Esto hace que el usuario no pueda llegar a ver la verdadera extensión, ya que queda más allá de la pantalla).

Crea la siguiente carpeta también oculta:

C:\Archivos de programa\MacroSoftBL

Luego, copia allí su propio código: MacroSoftBL.exe

Crea las siguientes modificaciones en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
StartUp MacroSoft = C:\Windows\Maria.doc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
StartUp = C:\Windows\Maria.doc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MacroSoft = C:\Archivos de programa\MacroSoftBL\MacroSoftBL.exe

El gusano ejecuta el archivo MARIA.DOC [espacios] .EXE en cada reinicio. El mismo también se copia a si mismo con un nombre al azar en el directorio raíz, y modifica el archivo C:\AUTOEXEC.BAT con las instrucciones para ejecutarse en cada reinicio.

El gusano crea las siguientes entradas en el registro, las que usa como contadores:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Start\RegRes1 = [número]

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Start\REGWord = [número]

Luego de la cuarta ejecución, el gusano esconde todas las ventanas y los iconos del escritorio.

El gusano también copia y ejecuta MacroSoftBL.exe, el cuál despliega un número de mensajes con información sobre un virus que ha sido descubierto, y que el virus puede quitarse si el usuario compra la versión completa del antivirus. Muestra un poco de información extra sobre como comprar el antivirus.

Para quitar el gusano de un sistema infectado

1. Pulse CTRL+ALT+SUPR (CTRL+ALT en forma simultánea y luego sin soltarlas, pulsar también la tecla SUPR)

2. En la ventana con la lista de tareas ejecutándose, busque y marque (coloreé) la que diga: "María"

3. Pinche en el botón "Finalizar tarea" y confirme la acción

4. Desde Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel de la izquierda abra la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Start

6. Pinche en la carpeta "Start" y bórrela (tecla SUPR).

7. En el panel de la izquierda abra la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

8. Pinche en la carpeta "Run" y borre en el panel de la derecha las siguientes entradas bajo la columna "Nombre":

Startup
MacroSoft

9. Cierre el editor del registro (Registro, Salir).

10. Borre el archivo C:\AUTOEXEC.BAT o reemplácelo con una copia de respaldo.

11. Revise todo su sistema con uno o más antivirus actualizados, y borre los archivos identificados como BEZILOM, etc.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS