Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Bat/Dgam.A. Datos adjuntos: E-CARD.SWF.BAT
 
VSantivirus No. 869 - Año 7 - Sábado 23 de noviembre de 2002

Bat/Dgam.A. Datos adjuntos: E-CARD.SWF.BAT
http://www.vsantivirus.com/dgam-a.htm

Nombre: Bat/Dgam.A
Tipo: Gusano de Internet (MS-DOS Batch)
Alias: BAT_DGAM.A, VBS_DGAM.A
Tamaño: 3,192 bytes
Plataforma: Windows 32-bits
Fecha: 22/nov/02

Este destructivo gusano se propaga enviando copias de si mismo vía e-mail a todos los contactos de la libreta de direcciones de Windows.

Borra el archivo REGEDIT.EXE (el editor del registro) y sobrescribe el archivo AUTOEXEC.BAT.

Libera un componente en Visual Basic Script (VBS), que facilita la propagación del mensaje, el cuál tiene estas características:

Asunto: Greeting card for you!
Datos adjuntos: E-CARD.SWF.BAT

Texto del mensaje:

Hi! How are you? I am sending you this greeting
card because I miss you so much. Enjoy!

El gusano también deshabilita la opción "Ejecutar" en el menú de Inicio, así como impide la ejecución de herramientas para editar el registro (REGEDIT.EXE).

Crea los siguientes archivos, que son copia de si mismo:

C:\AMDG.BAT (con atributo de solo lectura)
C:\E-CARD.SWF.BAT (con atributo de solo lectura)
C:\Windows\AMDG.BAT (con atributos de solo lectura y oculto)

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).

También despliega un mensaje como el siguiente, antes de realizar un SCANDISK:

Scanning disk for errors. To prevent this from happening
again, please always shutdown your computer properly by
pressing the Shut Down option in the Start button.
Please do not cancel scanning.

El gusano libera un archivo llamado AMDG.REG en el directorio actual, agrega su contenido al registro y luego cambia su atributo a oculto (+H).

Las modificaciones en el registro son las siguientes:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
amdg = C:\amdg.bat

El gusano libera el archivo MAIL.VBS, en la carpeta de temporales (C:\Windows\TEMP), y luego lo ejecuta. Este archivo posee la rutina de envío masivo (a todos los contactos de la libreta de direcciones de Windows.

Luego crea otro archivo .REG (HIDERUN.REG), el cuál ejecuta modificando los datos en el registro que deshabilitan la opción "Inicio", "Ejecutar":

HKCU\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoRun = "1"

Luego, vuelve a crear un archivo HIDERUN.REG (sobrescribiendo al anterior) pero conteniendo esta vez otra información que también es agregada al registro:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Policies\System
DisableRegistryTools ="1"

Esto deshabilita la posibilidad de editar el registro. Luego de ello, el archivo HIDERUN.REG es puesto con los atributos de oculto (+H).

Luego, el gusano borra el archivo REGEDIT.EXE en la carpeta Windows, si éste está allí. Eso impide la modificación del registro en forma normal (ejecutando REGEDIT).

El gusano también examina si existe el siguiente archivo:

C:\Windows\Command\Scandisk.exe

Si existe, lo sobrescribe, copiándole encima con el mismo nombre el archivo AUTOEXEC.BAT. El contenido del AUTOEXEC.BAT original (en C:\), es sobrescrito a su vez con las instrucciones para desplegar el siguiente diseño, con caracteres ASCII, dibujando la palabra "AMDG"):

    ##     #      #   ###      ##
  #   #    ## # #   #   #   # _
  ####   #  #  #   #   #   #   #
 #   #  #  #  #   ###     ##
    !!!ONE BIG FIGHT!!!

Por último, en su código tiene las instrucciones que harían que el gusano se ejecutara el 10/05 de 2002 y abriera una página determinada de Internet:

http://www.admu.edu.ph

El siguiente texto también se encuentra en el código del gusano:

coded by RosÜLA
(c) AmDg <--All Souls Day-->Copy Co


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

amdg.reg
hiderun.reg
c:\autoexec.bat

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares al descripto antes.


Cómo recuperar REGEDIT.EXE

En Windows 98:

1. Desde una ventana MS-DOS, escriba sin las comillas "System\SFC" y pulse Enter

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

REGEDIT.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

1. Desde una ventana MS-DOS, escriba sin las comillas "System\MSCONFIG"

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

REGEDIT.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").


Editar el registro

1. Descargue el siguiente archivo (Restore.reg):

http://www.videosoft.net.uy/restore.reg

2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro.

3. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

amdg

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer

7. Pinche en la carpeta "Explorer" y en el panel de la derecha haga doble clic sobre la entrada "NoRun".

8. Cambie el valor de "NoRun" de "1" a "0".

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS