VSantivirus No. 674 - Año 6 - Domingo 12 de mayo de 2002
W32/Bilido. Puede bloquear el acceso a algunos discos
http://www.vsantivirus.com/bilido.htm
Nombre: W32/Bilido
Tipo: Caballo de Troya y gusano
Alias: W32.Bilido.Worm, Win32.HLLW.Libido, TROJ_LIBIDO.A
Fecha: 10/may/02
Este gusano se copia a si mismo a la unidad de disquetes A con diferentes nombres.
Si el usuario ejecuta el archivo troyanizado, entonces se producen las siguientes acciones:
1. El troyano se copia a si mismo a la carpeta correspondiente al directorio
System de Windows:
C:\Windows\System\Runing.exe
o
C:\Winnt\System32\Runing.exe
2. Se modifica el registro para ejecutarse en forma automática en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Shell_ = C:\Windows\System\Runing.exe
3. Abre el editor del registro (REGEDIT.EXE) en modo exclusivo, negando el acceso de lectura y escritura a otros procesos. De este modo el editor no puede ser ejecutado por el usuario cuando el troyano está ejecutándose.
4. Se crea esta clave en el registro:
HKEY_CURRENT_USER\Software\Microsoft\ServiciosVxD
SubCount
El gusano utiliza esta entrada como un contador de ejecuciones
5. Cuando el valor "SubCount" en el registro llega a
100 (o sea, el troyano ha sido ejecutado 100 veces), el virus impide el acceso a algunas unidades de disco en la computadora local, interceptando las solicitudes a nivel de drivers con una respuesta
"lock volume" (unidad bloqueada). Esto solo funciona en Windows 95, 98 y Me, y no en NT, 2000 o XP.
6. Cada 10 minutos el gusano intenta grabarse a si mismo en la unidad de disquetes
A, bajo alguno de los siguientes (uno solo, seleccionado al azar):
libido.exe
sexo gratis.exe
porno gratis.exe
chistes.exe
sexo virtual.exe
cursos hacker.exe
amigos.exe
documentos.exe
chat porno.exe
chat amigos.exe
fotos porno.exe
musica gratis.exe
libido-Hembra.exe
Para limpiar un sistema infectado, proceda de la siguiente manera.
En Windows 95, 98 y Me:
Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
En Windows NT, 2000 y XP:
Para detener el proceso en memoria del gusano:
1. Pulse las teclas CTRL+ALT+SUPR una vez
2. Pinche en el manejador de tareas
3. Seleccione la lengüeta Procesos
4. Haga doble clic en la columna Nombres para ordenar los procesos en forma automática y ayudar a encontrarlos.
5. Busque algún proceso con alguno de los siguientes nombres:
amigos.exe
chat amigos.exe
chat porno.exe
chistes.exe
cursos hacker.exe
documentos.exe
fotos porno.exe
libido.exe
libido-Hembra.exe
musica gratis.exe
Runing.exe
porno gratis.exe
sexo gratis.exe
sexo virtual.exe
6. Si encuentra alguno, pinche en él para marcarlo y pinche en el botón de finalizar proceso
7. Cierre el administrador de tareas.
Para limpiar el gusano (todos los Windows):
1. Ejecute uno o más antivirus y revise todos los archivos de su sistema
2. Borre todos los archivos que aparezcan como infectados por este gusano
Para editar el registro:
1. Pinche en Inicio, Ejecutar, escriba REGEDIT y pulse Enter
2. Abra la siguiente rama del registro en el panel izquierdo:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, busque y borre la entrada con el nombre
"Shell_" si esta existe.
4. En el panel izquierdo, abra la siguiente rama del registro:
HKEY_CURRENT_USER
\Software
\Microsoft
\ServiciosVxD
5. Borre la carpeta "ServiciosVxD"
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Ejecute uno o dos antivirus para revisar su sistema nuevamente.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
