Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/VBS.Carewmr (AVFake). Falsa herramienta de Kaspersky
 
VSantivirus No. 837 - Año 6 - Martes 22 de octubre de 2002

 Troj/VBS.Carewmr (AVFake). Falsa herramienta de Kaspersky
http://www.vsantivirus.com/carewmr.htm

Nombre: Troj/VBS.Carewmr (AVFake)
Tipo: Caballo de Troya escrito en Visual Basic Script
Alias: Trojan.VBS.Carewmr, VBS/Carewmr, Carewmr, , VBS.AVFake
Fecha: 21/oct/02
Plataforma: Windows 32-bits
Tamaño: 3,292 bytes

Se trata de un peligroso troyano escrito en Visual Basic Script, capaz de borrar todo el contenido del directorio "C:\Windows", y que se presenta como la utilidad CLRAV de Kaspersky Labs.

Cuando el troyano es ejecutado, el mismo muestra el siguiente mensaje:

Welcome to CLRAV of Kaspersky Labs, press OK or Accept to Start scanning your computer.

ERROR!, Code error:3212552, please execute this tool in MS-DOS.

Thank You for prefer Kaspersky Labs Products

"Carewmr" abre luego la antigua página de Kaspersky (http:\\www.avp.ru) en el navegador de Internet por defecto.

El día 1 de setiembre, el troyano muestra este mensaje:

Mr.Carew vuelve otra vez!!, jaja

También, de la siguiente rama del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Elimina las siguientes claves:

SystemTray
AVPCC
NAVW32
TrueVector
ZoneAlarm Pro

Crea numerosos archivos en la computadora infectada:

C:\Norton2003isbad_preferKAVORAVP
C:\AVP
C:\NAV
C:\CHILE
C:\TEMUCO
C:\MCAFEE
C:\ENTELPCS
C:\GSM1900MHZ
C:\SONYERICSSON
C:\CAREFULLY_WHIT_ME
C:\YOUR_PC_IS_VERY_BAD
C:\I HATE MELINA
C:\VBS.CarewMR.a
C:\Windows is a real virus?
C:\MELINA_TE_ODIO_MUERETE! 
C:\WindowsXP
C:\Windows3.11
C:\Windows98SE
C:\WindowsME
C:\Windows 95
C:\WindowsNT
C:\Windows2000
C:\TELLCELL S.A
C:\PORN
C:\ORAL_SEX
C:\BIN_LADEN_FUCKYOU
C:\ICQ
C:\PANDA
C:\NOD32
C:\TREND
C:\PC-CILLIN
C:\AvpM.exe
C:\Kaspersky_AntiVirus_PersonalPRO_THEBEST!!!!!
C:\Norton_thePOOR
C:\Madonna_Sucking_my_dick.avi
C:\Your_system_is_infected_by_a_virus_jajajajajajaja.jajajaja
C:\THE_HEURISTIC_OF_NORTON_IS_VERY_BAD_AND_PRODUCE:POSITIVES-FALSES

Y también crea los siguientes directorios:

C:\Symantec
C:\KasperskyLabs
C:\PandaSoftware
C:\TrendMicro
C:\Eset-Nod-fucked

Luego, el troyano crea un archivo de texto llamado "CLRAV_Report.log" con el siguiente contenido:

Due an error, Code error:3212552, CLRAV has not disinfect your computer
For Support please send a e-mail to support@kaspersky.com and please indicate the Code Error.

No descargue la utilidad CLRAV desde cualquier sitio sin comprobarla antes. La ofrecida en el sitio original y en nuestra página http://www.vsantivirus.com/util-clrav.htm, son versiones originales.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS