Asunto: SAP UPDATE

Texto:
     All:
       Please update your system.
     DGSAP

Datos adjuntos: WWW.DGSAP.DELTADG.COM.EXE

El nombre, juega con varios elementos, entre ellos la doble extensión (.EXE no es visible en una configuración estándar de Windows), para hacer creer al usuario que se trata de un enlace a un sitio Web.

Cuando dicho adjunto es ejecutado, se crean los siguientes archivos en el sistema:

C:\Windows\System\Server.exe
C:\Windows\System\System.txt.vbs
C:\Windows\Server.exe 
C:\Windows\System.txt.vbs

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

El gusano también copia el archivo WWW.Dgsap.Deltadg.com.exe en el escritorio de Windows, y en el raíz de la unidad C:

C:\Windows\Escritorio\WWW.Dgsap.Deltadg.com.exe
C:\WWW.Dgsap.Deltadg.com.exe

Luego, agrega o modifica los siguientes valores del registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winserver = C:\Windows\System.txt.vbs
server = C:\Windows\System\Server.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
server = C:\Windows\Server.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
serverex= C:\Windows\System\System.txt.vbs

Estos cambios hacen que el gusano se ejecute automáticamente al reiniciarse Windows.

También se modifican varias claves en la siguiente rama del registro, para hacer que la carpeta \Windows sea compartida como recurso "Admin$" con una contraseña:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Network\LanMan\Admin$

Además intenta modificar en el registro, los niveles de seguridad de Internet Explorer, Microsoft Outlook y Outlook Express.

Luego, el gusano intenta abrir una página Web con el Internet Explorer. Cómo el gusano se ejecuta en cada reinicio de Windows, siempre que ello ocurra se abrirá el Explorer.

Finalmente, el gusano intentará enviarse a todos los contactos de la libreta de direcciones del Outlook y Outlook Express. Para ello, usará el código del archivo SYSTEM.TXT.VBS. Los mensajes serán como el descripto antes.

Luego del primer envío, el gusano crea una clave en el registro, como marca para no volver a enviarse.

El gusano deshabilita también el editor del registro de Windows, con lo cuál no será posible realizar los cambios necesarios en una limpieza manual, sin tener en cuenta un procedimiento adecuado.


Procedimiento de limpieza manual

Debido a las características de las modificaciones hechas en el registro por este gusano, se deberá seguir un procedimiento dificultoso para su reparación. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgar a perder información valiosa de su computadora. Primero, siga estos pasos:


1. Actualice y ejecute sus antivirus, tomando nota de los archivos infectados y su ubicación.

2. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

3. En ambos casos, en la lista de tareas, señale las coincidencias con el nombre o nombres detectados en el punto 1.

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

Este procedimiento deberá hacerse con cada nombre detectado en el punto 1, reiterándose los puntos 2 a 3 por cada tarea a eliminar.


Editar el registro

Cómo el editor del registro está deshabilitado por el gusano, es necesario rehabilitarlo antes de poder realizar los restantes cambios en el registro.

Para ello, copie el siguiente texto en el bloc de notas, y guárdelo con cualquier nombre y extensión .REG, por ejemplo: RESTAURA.REG:

--- copie desde REGEDIT4 ---

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

--- hasta aquí ---

Asegúrese de grabar el archivo con la extensión .REG. Luego, haga doble clic sobre dicho archivo (RESTAURA.REG) y acepte la pregunta del sistema para combinar los datos con el registro (¿Está seguro de que quiere agregar la información de ... al Registro?). Luego, siga estos pasos:

1. Desde Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

winserver
server
server

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

serverex

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main

7. Pinche en la carpeta "Main" y en el panel de la derecha busque y cambie las entradas "Search Page" y "Start Page" por lo siguiente:

Search Page =
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page = about:blank

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


IMPORTANTE:

Para modificar la configuración de "Admin$" y los niveles de seguridad de Internet Explorer y Outlook, se deberá recurrir a la documentación apropiada, según las versiones de Windows e Internet Explorer instaladas. Nuevamente sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgar a perder información valiosa de su computadora.

Una opción, no recomendada en un 100% de los casos, para volver a la configuración estándar los niveles de seguridad, puede ser la de pulsar el botón "Nivel Predeterminado" en todos los seteos de Opciones de Internet, Seguridad (Internet, Intranet local, Sitios de confianza y Sitios restringidos).

Opciones de Internet puede ser accedido desde Mi PC, Panel de control.


Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual" (el cambio anterior dejó esta página en blanco).

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com