Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

IRC/Worm.Ceyda. Se propaga a través de canales de chat
 
VSantivirus No. 591 - Año 6 - Lunes 18 de febrero de 2002

 IRC/Worm.Ceyda. Se propaga a través de canales de chat
http://www.vsantivirus.com/ceyda.htm

Nombre: IRC/Worm.Ceyda
Tipo: Gusano de IRC
Alias: IRC-Worm.Ceyda.6574, mIRC/Ceydem.6953/6966, pIRCH/Ceydem.6966
Fecha: 15/feb/02
Tamaño: 6,574 bytes

Este gusano se propaga a través de los canales de chat (IRC), utilizando el popular programa mIRC.

Se trata de un ejecutable del tipo DOS, encriptado. Si se ejecuta en una computadora sin tomar las providencias (antivirus al día y monitoreando), entonces el gusano realiza las siguientes acciones:

1. Desencripta su código en memoria.

2. Genera un archivo WINSTART.BAT en la carpeta de Windows (por defecto C:\Windows\WINSTART.BAT).

3. Crea la carpeta C:\Windows\WINDOWSUSER2 y se copia a si mismo en ella.

4. Ejecuta el archivo BAT (también se ejecuta en cada inicio de Windows). Este archivo crea otra copia del gusano en la carpeta WINDOWSUSER2, con el nombre CeydaDemet___TurkishGirl.JPG.com.

5. Crea o suplanta un archivo SCRIPT.INI en la carpeta del mIRC (C:\Mirc por defecto). El gusano agrega en ese archivo, comandos para autoenviarse a usuarios que participen en los mismos canales de chat de la víctima. También agrega las instrucciones para formatear el disco duro.

Para limpiar su PC

Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como "IRC/Worm.Ceyda", etc.

Borre también el archivo C:\Windows\Winstart.bat (usando el explorador de Windows para localizar y borra este archivo).

Notas

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS