Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Cervivec.A. Gusanos de colores en su pantalla
 
VSantivirus No. 624 - Año 6 - Sábado 23 de marzo de 2002

W32/Cervivec.A. Gusanos de colores en su pantalla
http://www.vsantivirus.com/cervivec-a.htm

Nombre: W32/Cervivec.A
Tipo: Gusano de Internet
Alias: WORM_CERVIVEC.A, CERVIVEC.A, W32.Cervivec.A@mm
Plataforma: Windows 32-bit
Tamaño: 228,872 bytes (comprimido con UPX)

Este gusano, originado en la república checa, se propaga enviando un correo electrónico infectado, a todos los contactos del ICQ.

Posee una rutina maliciosa pero no destructiva, que solo ocasiona que la pantalla se llene de líneas de colores en movimiento, simulando una especie de gusanos.

Escrito en Delphi, y comprimido su ejecutable con la utilidad UPX (versión 1.20), la descompresión se realiza en memoria, en tiempo de ejecución. El tamaño del ejecutable es de 228,872 bytes, y una vez descomprimido presenta un tamaño de 636,936 bytes.

Cuando el usuario abre y ejecuta el archivo adjunto a un mensaje infectado, se produce la infección de su PC. La primera acción del gusano es crear una copia de si mismo en la carpeta System de Windows, que de acuerdo a la versión del sistema operativo presente, puede estar en alguna de estas ubicaciones:

C:\Windows\System\NTKRNL.EXE
C:\Winnt\System32\NTKRNL.EXE

También crea la siguiente entrada en el registro que permite su ejecución automática en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Load Kernel = "C:\WinNT\SYSTEM32\NTKRNL.EXE –LOADDRIVERS = TRUE"

Luego de estas acciones, la primera vez que se ejecuta en un nuevo sistema, el gusano examina si el programa de mensajería instantánea, ICQ, está instalado en la máquina. Si lo está, intentará buscar las direcciones de correo de toda la lista de contactos.

El gusano posee su propio servidor SMTP, y con él enviará sus mensajes infectados a todas las direcciones recolectadas.

Los mensajes enviados, son seleccionados de la siguiente lista de siete, todos en diferentes idiomas.

Asunto: Vtip
Texto:
Cervici
Cau posilam ti cerviky tak se na to podivej (virus to neni)

Asunto: Vtip
Texto:
Cervici
Cau posielam ti cerviky tak sa na to pozri (virus to neni)

Asunto: Witz
Texto:
Hallo, Ich habe ein guter Witz-Wurm so sieh! (kein virus)

Asunto: blague
Texto:
J'ai une bonne blague ca s'appelle verre de terre alors jette un coup d'oeil (il n'y a pas de virus)

Asunto: Joke
Texto:
Hi, I have some cool joke - worms so have a look at it (no virus)

Asunto: Zart
Texto:
Czesc, mam swietnz dowcip - robaka. Obejrzyj go sobie (to nie jest wirus)

Asunto: Chiste
Texto:
Hola te mando los gusanilloes. Pues mirarlos (no es un virus)

Datos adjuntos: Ntkrnl.exe

No lo hace la primera vez, pero en las siguientes veces que la computadora es reiniciada, el gusano despliega una ventana con el siguiente mensaje:

Press restart button to close this application

[      OK     ]

En el momento que el usuario pulse en el [ OK ], la pantalla del monitor se llena de multicolores líneas en movimiento simulando una especie de gusanos electrónicos.

Para limpiar este gusano de un sistema infectado, solo siga estos pasos:

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

2. Seleccione esta rama del registro, en el panel izquierdo del editor, pulsando sucesivamente en los símbolos "+":

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pulse en la carpeta "Run" y en el panel de la derecha, borre el valor:

Kernel Loader "C:\WinNT\SYSTEM32\NTKRNL.EXE –LOADDRIVERS=TRUE"

4. Salga del editor del registro y reinicie su PC. Es importante lo mantenga apagado unos segundos antes de reiniciarlo, para estar seguro que no quedarán rastros del gusano en la memoria.

5. Ejecute uno o más antivirus actualizados y borre todos los archivos que parezcan estar infectados por el gusano Cervivec.A.

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS