Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Blinkcom. Gusano con mensajes en español
 
VSantivirus No. 781 - Año 6 - Miércoles 28 de agosto de 2002

W32/Blinkcom. Gusano con mensajes en español
http://www.vsantivirus.com/blinkcom.htm

Nombre: W32/Blinkcom
Alias: W32.Venzu.Worm, W32/Blinkom, W32/Blinkom-A, WORM_BLINKOM.A, Worm.P2P.Blinkom, Win32/Blinkom.worm, Win32/Venzu.Worm, Win32.Venzu.A
Tipo: Gusano de E-mail
Tamaño: 176,640 bytes 
Fuente: HackSoft

Reportado por HackSoft, este gusano se transmite a través del correo electrónico, enviándose a todos los contactos de la libreta de direcciones del Outlook Express y del MSN Messenger.

También utiliza el KaZaa, el ICQ y el mIRC, además de propagarse vía disquetes.

Los mensajes infectados tienen las siguientes características:


Asunto: Los mejores chistes de Bin Laden

Texto:
A todos mis amigos. Los mejores chistes que me enviaron, stos son los mejores.

Datos adjuntos: BinLadilla.pif


Asunto: HISPASEC

Texto:
Esta es la prueba de que HISPASEC roba importantes bases de datos de muchas compaas, incluso hotmail. (los campos en blanco son algunos datos omitidos por razones de anonimato y seguridad).

Datos adjuntos: Noticia45.Txt.pif


Asunto: HISPASEC

Texto:
This is the probe that HISPASEC steals important databases of many companies (the fields in blank_target are some data omitted by security and anonimity reasons)

Datos adjuntos: NewsHS.Txt.pif


Asunto: Carnivore databases

Texto:
BO2K publish pieces of database gathered by Carnivore.

Datos adjuntos: CarnivoreStory.pif


Asunto: Base de datos. Carnivore.

Texto: BO2K publica parte de la base de datos recopilada por Carnivore.

Datos adjuntos: CarnivoreStory.pif


Asunto: VAN A VENDER HOTMAIL

Texto:
parece que los de microsoft no se la pudieron, prefirieron dedicarle tiempo al windows,amenazan con borrar las cuentas, pero se puede evitar siguiendo unos estatuts que ellos ponen a disposicin. leelos o no tendras mas cuenta. chao.

Datos adjuntos: Estatutos.pif

Cuando se ejecuta el adjunto, el gusano muestra el siguiente mensaje:

Blink Worm By RaZor/GEDZAC
Hecho En Venezuela Barquisimento Estado Lara.

El gusano busca y modifica el archivo de configuración del mIRC, SCRIPT.INI, para propagarse a través de los canales de chat compartidos por el usuario infectado.

Para ello, envía a otros usuarios el archivo 'BLINK 182.SCR'.

También sobrescribe el archivo YMSGR.INI del mensajero de Yahoo, y el archivo WIN.INI de Windows, agregando el siguiente texto:

Estas Infectado Por Blink!!

También sobrescribe el archivo WINSTART.BAT que se encuentra en C:\WINDOWS (o el nombre que tenga la carpeta de Windows del sistema infectado), agregando las siguientes líneas:

CLS
@ECHO Estas Infectado Por Blink!!
pause

Luego modifica el archivo C:\AUTOEXEC.BAT con las siguientes instrucciones:

@attrib +h +r c:\blink.bat
cls
@ECHO ---------------------
@ECHO [ Blink virus. ]
@ECHO [ RaZor ]
@ECHO [ Gedzac Labs 2002. ]
@choice "" /c:12 /n /t:1,5
@if errorlevel 1 goto fin
:fin

Esto despliega un menú de opciones.

Para autoejecutarse en cada reinicio de Windows, agrega la siguiente entrada al archivo SYSTEM.INI de la carpeta C:\Windows, en la sección [boot]:

[boot]
shell=Explorer.exe 182.exe

El gusano crea las siguientes copias de si mismo:

C:\ThE MegA BlINk BaT.bat
C:\WINDOWS\Blink 182.scr
C:\WINDOWS\BOX CAR RACER.scr
C:\WINDOWS\%system%\182.exe
C:\Program Files\KaZaA\My Shared Folder\Blink 182.scr
C:\Program Files\KaZaA\My Shared Folder\KaZaA UpDate.exe
C:\Program Files\KaZaA\My Shared Folder\All The Small Things All Screen Video.scr
C:\Program Files\ICQ\shared files\ICQ Power Edition.exe
C:\Program Files\ICQ\shared files\ICQ Ice Screen.scr
A:\Nude Screen.scr
Blink 182.scr

Modifica o crea las siguientes claves en el registro de Windows:

HKEY_LOCAL_MACHINE\Software\KasperskyLab\SharedFiles
avpfolder Blink Folder
VEDataFilePath The Blink Path
VEIndexFilePath The Plink, the Blink, the Oink
MainDir Blink virus & the Batch company
Folder Plink it's the Blink guitarrist yeeeeeh!

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Options
EnableMacroVirusProtection = 0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner = Blink
RegisteredOrganization = The Blink company inc

Luego, sobrescribe todos los archivos .DAT con copias de si mismo, en la siguiente ubicación:

C:\archiv~1\perav\*.dat

También borra los siguientes archivos, de existir estos:

C:\Archiv~1\Pandas~1\Pandaa~1.0\*.dll
C:\Archiv~1\McAfee\McAfee~1\*.dll
C:\Archiv~1\Norton~1\NAVDX.EXE
C:\Archiv~1\Norton~1\V325SCAN.dll
C:\Archiv~1\Norton~1\NAVP.VXD

Además de intentar borrar esos conocidos antivirus, también intenta eliminar cortafuegos como ZoneAlarm, BlackIce, Tiny, y Sygate, borrando sus archivos y carpetas.


Mostrar las extensiones verdaderas de los archivos


Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano.

1. Con el explorador de Windows, busque y borre los siguientes archivos:

C:\ThE MegA BlINk BaT.bat
C:\WINDOWS\Blink 182.scr
C:\WINDOWS\BOX CAR RACER.scr
C:\WINDOWS\%system%\182.exe
C:\Program Files\KaZaA\My Shared Folder\Blink 182.scr
C:\Program Files\KaZaA\My Shared Folder\KaZaA UpDate.exe
C:\Program Files\KaZaA\My Shared Folder\All The Small Things All Screen Video.scr
C:\Program Files\ICQ\shared files\ICQ Power Edition.exe
C:\Program Files\ICQ\shared files\ICQ Ice Screen.scr
A:\Nude Screen.scr
Blink 182.scr
C:\Windows\WINSTART.BAT
\mIRC\SCRIPT.INI

2. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Editar el archivo SYSTEM.INI

1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Busque lo siguiente:

[boot]
shell=Explorer.exe 182.exe

y déjelo así:

[boot]
shell=Explorer.exe

3. Grabe los cambios y salga del bloc de notas

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre las siguientes líneas:

@attrib +h +r c:\blink.bat
cls
@ECHO ---------------------
@ECHO [ Blink virus. ]
@ECHO [ RaZor ]
@ECHO [ Gedzac Labs 2002. ]
@choice "" /c:12 /n /t:1,5
@if errorlevel 1 goto fin
:fin

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Restablecer otras configuraciones


Restablezca las configuraciones contra virus de macros. En Office 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Office 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.

También reinstale su antivirus y/o cortafuego, si estos han sido borrados o modificados por el gusano.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
10/set/02 - Alias: W32/Blinkom
20/set/02 - Alias: W32/Blinkom-A, WORM_BLINKOM.A, Worm.P2P.Blinkom
20/set/02 - Alias: Win32/Blinkom.worm, Win32/Venzu.Worm, Win32.Venzu.A




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS