| |
VSantivirus No. 702 - Año 6 - Domingo 9 de junio de 2002
W32/Chir. Envío masivo y ejecución en vista previa
http://www.vsantivirus.com/chier.htm
Nombre: W32/Chir
Tipo: Gusano de Internet
Alias: W32.Chier@mm, Win32.Chir, WORM_CHIR.A, W32/Chir@MM, I-Worm.Runouce, Win32/Chir.A@mm
Fecha: 8/jun/02
Tamaño: 10,792 bytes
Plataformas: Windows 9x, Me, NT, 2000, XP
Fuente: Symantec
Este gusano capaz de enviarse en forma masiva a través del correo electrónico, utiliza sus propias rutinas SMTP. Utiliza un servidor SMTP estático, de modo que si dicho servidor no se encontrara disponible, el gusano no podría propagarse.
Crea un archivo llamado RUNOUCE.EXE (no confundir con RUNONCE), en el directorio
%System% de Windows, por ejemplo, en Windows 9x y Me:
C:\Windows\System\runouce.exe
O en otros Windows:
C:\Winnt\System32\runouce.exe
Las propiedades del archivo serán de oculto (+H), sistema (+S) y de solo lectura (+R).
El mensaje que envía el virus tiene estas características:
En el campo "De:" trae uno de estos dos remitentes:
De: <nombre_de_usuario>@hotmail.com
De: iloveyou@btamail.net.cn
Asunto: Hi, i am <nombre_de_usuario>
Datos adjuntos: p.exe
El gusano intenta también identificar todas las computadoras conectadas en una red y acceder a sus archivos. Sin embargo, debido a un error en su código, ninguno de estos archivos es modificado de forma alguna.
Aunque no posee una rutina destructiva, posee la capacidad de enviar mensajes en gran cantidad, reiterando los envíos a toda la libreta de direcciones de Windows cada vez que se ejecuta.
El gusano utiliza dos de las vulnerabilidades más conocidas de los últimos tiempos del Outlook, el IFRAME Exploit
y el MIME Exploit. Esto hace que se pueda ejecutar en cualquier computadora por el simple hecho de leer un mensaje o verlo en la vista previa, sin necesidad de abrir el adjunto.
También modifica el registro de Windows, para ejecutarse en cada reinicio de la computadora infectada:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Runonce = C:\WINDOWS\SYSTEM\runouce.exe
Reparación manual
Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Runouce
C:\Windows\System\runouce.exe
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
9. Actualice su Internet Explorer con los parches actualizados, para evitar la ejecución del mensaje infectado por solo leerlo.
Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Modificaciones:
12/jun/02 - Cambia el nombre de W32/Chier a W32/Chir
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
