Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Busan.A. Se propaga a través de recursos compartidos
 
VSantivirus No. 1011, Año 7, Lunes 14 de abril de 2003

 W32/Busan.A. Se propaga a través de recursos compartidos
http://www.vsantivirus.com/busan-a.htm

Nombre: W32/Busan.A
Tipo: Gusano de Internet
Alias: Busan, Worm.Win32.Busan
Tamaño: 14 Kb
Plataforma: Windows 32-bit
Fecha: 14/abr/03

Este gusano se propaga copiándose en todos los recursos compartidos en red que sean accesibles.

Se trata de una aplicación en formato PE (Portable Executable), escrita en C++ y comprimido con la herramienta UPX. Los archivos PE son aquellos que pueden ser compartidos por todos los sistemas operativos de 32 bit.

Cuando se ejecuta en la computadora infectada, el gusano envía un mensaje al ICQ del autor, y se copia a si mismo en el directorio de Windows:

c:\windows\files32.sys

También copia allí un archivo capaz de interceptar lo tecleado por el usuario:

c:\windows\mh32.dll

Luego intenta copiarse con otro nombre (auto.exe) en alguno de los siguientes directorios:

c:\windows\all users\start menu\program files\startup\auto.exe
c:\windows\all users\menú inicio\programas\inicio\auto.exe

Esta acción parece fallar por un error en el código.

Después, intenta copiarse en todos los recursos disponibles de una red, con dicho nombre y ubicación.

También modifica el registro de la máquina infectada, para asegurarse su ejecución automática cada vez que un archivo .EXE es llamado por el sistema:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = files32.sys "%1" %*

El gusano recoge información del sistema local e intenta enviarlo al autor. Estos datos incluyen direcciones electrónicas, contraseñas de acceso y la captura de lo tecleado por la víctima.

Finalmente intenta descargar el archivo "worm31.bmp" de un sitio de Internet, pero la página correspondiente ha sido eliminada, fallando dicho intento.


Reparación manual

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

Nombre                Datos
(Predeterminado)  files32.sys "%1" %*

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (files32.sys) y dejar en "Datos" solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

Nombre                 Datos
(Predeterminado)   "%1" %*

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos (no todas estas ubicaciones pueden estar presentes):

c:\windows\files32.sys
c:\windows\mh32.dll
c:\windows\all users\start menu\program files\startup\auto.exe
c:\windows\all users\menú inicio\programas\inicio\auto.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS