Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/DrPimp.A@mm. Gusano con mensajes en portugués
 
VSantivirus No. 390 - Año 5 - Jueves 2 de agosto de 2001

Nombre: W32/DrPimp.A@mm
Tipo: Gusano de Internet
Alias: Win32.DrPimp.A@mm
Tamaño: 387,584 bytes
Fecha: 1/ago/01

Escrito en Delphi, este gusano (con mensajes en portugués), es capaz de propagarse a través del correo electrónico, utilizando para ello los contactos de la libreta de direcciones de Windows (WAB, Windows Address Book) y el Outlook Express.

El gusano llega en alguno de los siguientes mensajes (note que incluso existe uno que simula ser una utilidad para limpiar el virus SirCam):

Asunto: Apresentacao PowerPoint
Texto: Por favor, de uma olhada nesta apresentacao, acho que esta boa mas gostaria da sua opniao.
Abratos
Archivo adjunto: trabalho1.exe


Asunto: Motivo
Texto: Realmente, eu nao esperava isso de voce, este anexo me provou que tipo de pessoa voce T.
Quero ver vocO negar isso...
Archivo adjunto: denuncia.exe


Asunto: quem diria...
Texto: Heheh, quem diria hein?
Voce nao ficou nada bem neste Slide..
Beijos na bunda,
Archivo adjunto: Slide.exe


Asunto: Urgente
Texto: Preciso de sua ajuda urgente, por favor, segue em
anexo todos os passos...
Desde ja, muito obrigado!
Archivo adjunto: flash.exe


Asunto: Abra os olhos
Texto: Voce precisa ver isso...
Desculpe, mas nao posso aceitar traitpo.
Espero que as fotos neste Slide ajude a abrir seus olhos!!
Archivo adjunto: confidencial.exe


Asunto: Fw: Novo Virus na Internet, conhecido como "Dr. Pimpolho".
Texto:
>>Atentao:
>>Cuidado com o novo virus conhecido como "Dr. Pimpolho"
>>que esta sendo espalhado pela internet traves de e-mails.
>>Se voce receber um e-mail de alguma pessoa
>>desconhecida NAO ABRA!!!!
>>Utilize o programa da Symantec em anexo para verificar se voce esta infectado
>>e para remover este terrivel virus!
>>Passe este e-mail para todos de sua lista, vamos eliminar de vez
>>o terrivel virus "Dr. Pimpolho".
Archivo adjunto: anti_pimpolho.exe


Asunto: Remova o virus SirCam
Texto: Oi, estou recebendo varios e-mails seus com virus.
Voce pode estar infectado com o SirCam, remova ele do seu micro para que ele nao fique se enviando a toda a sua Lista de Contatos.
Para remover T so executar o programa que estou te enviando.
Ate Logo
Archivo adjunto: remove_sircam.exe

Cualquiera de estos adjuntos que se intente abrir, activará al gusano, el cuál muestra un mensaje falso, a los efectos de engañar al usuario. Pero mientras tanto, ya se produjo la infección:

Fatal Error

Stack overflow.
Reboot your system and try again.

[   OK   ]

Mientras se muestra el mensaje, el gusano se copiará en el directorio de Windows:

C:\Windows\windebug.exe

También se copiará en el raíz de C:\ con uno de los siguientes nombres, seleccionado al azar:

C:\trabalho1.exe
C:\denuncia.exe
C:\Slide.exe
C:\flash.exe
C:\confidencial.exe
C:\anti_pimpolho.exe
C:\remove_sircam.exe

El gusano, también crea esta clave en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Debug Manager = C:\Windows\windebug.exe

Esto hace que se ejecute cada vez que se reinicia Windows.

Además crea esta otra clave, para almacenar información necesaria para su funcionamiento:

HKCU\Software\Microsoft\SystemMenu

Una vez activo, el gusano intentará enviar sus mensajes infectados a los contactos de la libreta de direcciones de Windows, utilizando los datos de la configuración del usuario infectado.

La conexión se hace directamente al servidor SMTP (Simple Mail Transfer Protocol). Este procedimiento no es visualizado por el usuario, ya que además, en ningún momento se utilizan las carpetas (Elementos enviados o Bandeja de salida), del Outlook Express.

El mensaje enviado es uno de los vistos anteriormente, cuyo adjunto es tomado desde la copia en el raíz de la unidad C:.


Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como: 

Microsoft Debug Manager        "C:\Windows\windebug.exe"

4. Pinche sobre el nombre "Microsoft Debug Manager" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
SystemMenu

6. Pinche sobre la carpeta "SystemMenu" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Busque y borre los archivos siguientes (si algunos de ellos existen en su computadora, en las siguientes ubicaciones):

C:\Windows\windebug.exe
C:\trabalho1.exe
C:\denuncia.exe
C:\Slide.exe
C:\flash.exe
C:\confidencial.exe
C:\anti_pimpolho.exe
C:\remove_sircam.exe

Fuente: Central Command
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS