|
VSantivirus No. 795 - Año 6 - Miércoles 11 setiembre de 2002
W32/Chet. Datos adjuntos: "11september.exe"
http://www.vsantivirus.com/chet.htm
Nombre: W32/Chet
Tipo: Gusano de Internet
Alias: W32/Chet@MM, WORM_CHET.A, W32/Chet.A@mm, Chet, Anniv911, 11september, September11, W32/Anniv911.A, Win32.Chet,
Win32.HLLM.Otchet.26628, W32.Chet@mm, W32/Anniv911.A-mm, W32/Chet-A, 11september.exe
Tamaño: 26,628 bytes
Origen: Rusia
Plataforma: Windows 32-bits
Fecha: 10/set/02
Este gusano compilado en Visual C++, intenta aprovecharse de los acontecimientos del 11 de setiembre para su propagación. Sin embargo, en las variantes actuales, posee errores que impiden su propagación en algunos sistemas.
La rutina de propagación utiliza la libreta de direcciones de Windows y del Outlook para enviarse a todos sus contactos en un mensaje infectado con las siguientes características:
De:
main@world.com
Asunto:
All people!!
Texto:
Dear ladies and gentlemen!
The given letter does not contain viruses, and is not Spam. We ask you to be in earnest to this letter. As you know America and England have begun bombardment of Iraq, cause of its threat for all the world. It isn't the truth. The real reason is in money laundering and also to cover up traces after acts of terrorism September, 11, 2001. Are real proofs of connection between Bush and Al-Qaeda necessary for you? Please! There is a friendly dialogue between Bin Laden and the secretary of a state security of USA in the given photos. In the following photo you'll see, how FBI discusses how to strike over New York to lose people as much as possible. And the document representing the super confidential agreement between CIA and Al-Qaeda is submitted to your attention. All this circus was specially played to powder brains!! You'll find out the truth. Naked truth, instead of TV showed.
------------------------------------------------------------------------------------------
For your convenience, and to make letter less, all documentary materials (photos and MS Word documents) are located in one EXE file. Open it, and all materials will be installed on your computer. You will receive the freshest and classified documents automatically from our site. It isn't a virus! You can trust us absolutely. We hope, that it will open your eyes on many things occurring in this world.
Datos adjuntos:
11september.exe
Si el usuario ejecuta el adjunto, el gusano realiza las siguientes acciones:
1. Crea los siguientes archivos:
C:\BOOT.TXT
C:\Windows\System\SYNCHOST1.EXE
El archivo BOOT.TXT tiene un tamaño de cero bytes, y
SYNCHOST1.EXE es una copia del gusano
(11september.exe).
2. Modifica las siguientes entradas en el registro para asegurar su autoejecución en próximos reinicios de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ICQ1 = C:\WINDOWS\SYSTEM\synchost1.exe
También crea la siguiente clave:
HKEY_CURRENT_USER
DefaultLcid3 = "2"
3. En su primer ejecución, el gusano crea la siguiente clave en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
Del_Self = "del [camino y nombre del archivo ejecutado]"
Esta entrada utiliza el comando DEL para borrar el archivo original del gusano desde donde fue ejecutado. La propia entrada del registro también es borrada luego del primer reinicio de la computadora después de la infección.
Luego, intenta enviarse a todos los contactos de las libretas de direcciones de Windows y del Outlook, aunque esto falla en la mayoría de los sistemas.
El gusano también intenta enviar mensajes a algunas direcciones electrónicas escritas en su código.
Estos mensajes tienen estas características:
De:
Fucker
Para:
Ripper
Asunto:
Otchet from usersfirst
También puede tener este asunto:
Otchet
El texto del mensaje contiene la lista de contactos de las libretas de direcciones, así como las direcciones IP y el nombre de la computadora infectada.
El gusano utiliza el icono de un elemento de red para esconder su verdadera naturaleza (un ejecutable .EXE, cuya extensión permanece oculta en una configuración por defecto de Windows).
No muestra ningún mensaje cuando se ejecuta, ni se observa fácilmente algún otro signo que haga sospechar al usuario que el gusano se ha instalado en su PC.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
ICQ1
4. En el panel izquierdo del editor, borre la siguiente carpeta (aparece en la misma rama de "HKEY_CURRENT_USER"):
DefaultLcid3
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Aplicaciones:
13/set/02 - Alias: Win32.HLLM.Otchet.26628, W32.Chet@mm
13/set/02 - Alias: W32/Anniv911.A-mm, W32/Chet-A, 11september.exe
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|