Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Ciosor.A. Cuando un ratón se enloquece...
 
VSantivirus No. 498 - Año 6 - Domingo 18 de noviembre de 2001

Nombre: W32/Ciosor.A
Tipo: Gusano de Internet
Tamaño: 107 Kb
Alias: I-Worm.Ciosor, W32.Ciosor.A@mm, Win32.HLLM.Gracioso, 
Win32.MueveRaton

Este gusano se propaga como un archivo adjunto a un mensaje de correo electrónico en español. Los mensajes poseen varios temas, pero básicamente, suelen ser la advertencia de un conocido que dice que tenemos un virus en nuestro sistema, y para eliminarlo, gentilmente nos envía una cura.

Recordemos que bajo ningún concepto debemos abrir archivos adjuntos que no solicitamos, aún de conocidos. Este virus nos muestra claramente el peligro de hacerlo.

Aún en el caso de estar infectado realmente por algún otro virus, jamás acepte la cura que un conocido le envía por correo. Prefiera y solicite en todo caso, la dirección de una herramienta adecuada, y proceda a bajarla usted de Internet.

Descripción

Una de las características más visibles de un sistema infectado por este virus, es que el puntero del ratón se mueva al azar por toda la pantalla, sin respetar los movimientos del usuario.

Se trata de un ejecutable en formato PE (Win32), que ha sido programado en Microsoft Visual Basic 5. Para que el mismo pueda ejecutarse, es necesario tener instalada la librería Visual Basic Virtual Machine run-time (MSVBVM50.DLL). Este archivo no se propaga junto con el gusano, pero puede ser instalado previamente por algún otro programa. Ni Windows 95 o 98 la cargan, pero Windows Me la incluye en una instalación normal (junto a MSVBVM60.DLL).

El gusano se activa si el usuario hace doble clic sobre el adjunto. Si ello ocurre, entonces el virus se instala en el sistema.

El mensaje infectado posee diferentes textos y el adjunto diferentes nombres, seleccionados al azar de las siguientes opciones y combinaciones:

Asuntos:
  1. Cuidado con los virus!!!
  2. Tienes un virus!!!
  3. Me lo baje de Internet
  4. Una coña de la red 

Texto del mensaje:

  1. Saludos
    Me ha llegado el virus Nimda, de tu ordenador, ya es la segunda vez
    Pasa la vacuna que te envío, de Norton Antivirus
    ¡Y ten mas cuidado la próxima vez!
  2. Saludos
    Me ha llegado el virus Magistr, de tu ordenador, ya es la segunda vez 
    Pasa la vacuna que te envío, de Norton Antivirus
    ¡Y ten mas cuidado la próxima vez!
  3. Saludos
    Me ha llegado el virus Sircam, de tu ordenador, ya es la segunda vez 
    Pasa la vacuna que te envío, de Norton Antivirus
    ¡Y ten mas cuidado la próxima vez!
  4. Un Saludo
    Por Favor, revise su ordenador, me ha enviado el virus Nimda
    Le envío la vacuna facilitada por Norton Antivirus
  5. Un Saludo
    Por Favor, revise su ordenador, me ha enviado el virus Magistr
    Le envío la vacuna facilitada por Norton Antivirus
  6. Un Saludo
    Por Favor, revise su ordenador, me ha enviado el virus Sircam
    Le envío la vacuna facilitada por Norton Antivirus
  7. Un Saludo
    Hola, perdona, que te moleste, pero me has enviado un virus, el Nimda
    Te envío la vacuna de panda, ¡Ten mas cuidado la
    próxima vez! 
  8. Un Saludo
    Hola, perdona, que te moleste, pero me has enviado un virus, el Magistr
    Te envío la vacuna de panda, ¡Ten mas cuidado la próxima vez!
  9. Un Saludo
    Hola, perdona, que te moleste, pero me has enviado un virus, el Sircam
    Te envío la vacuna de panda, ¡Ten mas cuidado la próxima vez!
  10. Hola
    Te envío un fichero que me bajado de Internet, es una broma. mueve él Ratón por toda la pantalla. No se quita ni pulsando control+alt+supr,
    Jeje, al final hay que reiniciar.

Nombres del archivo adjunto (107 Kb):

  1. MueveRaton.exe
  2. AntiMagistr.exe
  3. AntiNimda.exe
  4. AntiSircam.exe

Para enviar los mensajes infectados, el gusano examina los archivos con extensiones *.EML, *.NWS, y *.DBX, obteniendo de allí las direcciones de sus víctimas, siendo incluso capaz de eludir el texto agregado a algunas direcciones electrónicas (usuario@SPAMservidor, usuario@QUITAR_ESTOservidor, etc.), muy común en las news como protección contra los robots que recogen direcciones válidas para luego enviarles a estas correo basura (SPAM).

Utiliza el servidor SMTP de Terra España (smtp.terra.es) para enviar los mensajes infectados.

Cuando se instala el gusano se copia a si mismo en la carpeta System de Windows (C:\Windows\System por defecto), con el nombre REGWIZ.EXE, acción que sobrescribe al auténtico REGWIZ.EXE (Microsoft Registration Wizard), el asistente para la registración en línea de Windows.

También modifica la siguiente rama del registro, para ejecutarse en forma automática en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
regwiz = C:\Windows\System\regwiz.EXE

Los atributos del archivo REGWIZ.EXE (que es el propio código del gusano), son puestos como de solo lectura (+R), oculto (+H) y sistema (+S).

Si el usuario ejecuta este archivo, se despliega el siguiente mensaje de error falso:

no es una aplicación Win32 válida
[ OK ] 

El gusano, también agrega al archivo del sistema C:\MSDOS.SYS, la siguiente línea:

BootKeys=0

Esto deshabilita en sistemas Windows 9x, el uso de las teclas F4, F5, F6, F8 y otras, durante el proceso de booteo de la computadora.

Una vez activo, el gusano permanece en memoria como un proceso oculto (un servicio del sistema), no visible como tarea al pulsar CTRL+ALT+SUPR.

Otra de las características visibles del virus, es que puede dejar inutilizable al ratón, haciendo que su cursor se mueva al azar por toda la pantalla.

La siguiente rama del registro es creada por el gusano, y usada como un contador interno:

HKCU\Software\VB and VBA Program Settings\regwiz\config
ejec = [valor]

Este [valor] es un número que aumenta en cada ejecución del virus. Cuando este número llega a 75, se modifica la siguiente clave del registro, acción que desactiva el salvador de pantallas:

HKCU\Control Panel\Desktop\
ScreenSaveActive = 0

Luego, el virus cierra Windows y reinicia la computadora.

Como sacar el virus de un sistema infectado

Para eliminar el virus manualmente, siga estos pasos:

1. Primero ejecute un antivirus al día.

2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

regwiz "C:\Windows\System\regwiz.EXE OutlookProfile"

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
VB and VBA Program Settings
regwiz

6. Pinche en la carpeta "regwiz" y pulse en SUPR para borrarla. Confirme el borrado.

7. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios. Luego reinicie su computadora (Inicio, Apagar el sistema, Reiniciar), y ejecute nuevamente un antivirus al día.

Los siguientes cambios no son críticos, pero se aconseja hacerlos para volver a la normalidad el sistema:

1. Para poder visualizar archivos con atributos de "Oculto", proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. Y ya que está allí, también DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

2. Desde Explorador de Windows, busque en C:\ el archivo Msdos.sys. Pinche en él con el botón derecho, Propiedades, y desmarque en Atributos, la opción "Solo lectura".

3. Con el botón derecho sobre Msdos.sys, seleccione "Abrir con", y seleccione NOTEPAD

4. Modifique la línea "BootKeys=0" por "BootKeys=1" (o borre la línea "BootKeys=0")

Para recuperar el archivo REGWIZ.EXE original proceda como se indica en "Cómo recuperar archivos con SFC en Windows 98 y Me": http://www.vsantivirus.com/faq-sfc.htm


Fuente: Kaspersky Labs

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS