Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Fagled. Utiliza numerosa base de mensajes
 
VSantivirus No. 564 - Año 6 - Miércoles 23 de enero de 2002

W32/Fagled. Utiliza numerosa base de mensajes

Nombre: W32/Fagled
Tipo: Gusano de Internet Win32
Alias: W32/Fagled@MM
Fecha: 21/ene/02
Tamaño: 110,592 bytes
Fuentes: Symantec

Este gusano capaz de enviarse masivamente a través del correo electrónico, también puede propagarse a través del mIRC y del Microsoft Messenger.

El gusano puede llegar a nuestras casillas, con alguna de las siguientes características y combinaciones de asuntos y textos:

Asunto: check out my ePhoto Album 
Texto: 

Asunto: LOL! 
Texto: 

Asunto: Why sex feels so good? 
Texto: ;) 

Asunto: this is how you remind me, WHAT I REALLY AM,
I'm NOT LIKE YOU, SO SORRY! 
Texto: 

Asunto: urgent!! you sent me a virus! 
Texto: Hi, I just received a email from you containing
the highly destructive one of the following is randomly
selected [W32/ToagDipust, W32/LlehmorfTaog.C,
W32/LOAeSui.A, W32/String.!erehemittaergagnivahmi,
W32/BadTrans, W32/LED, W32/Matrix, W32/AOL, W32/CockRoach,
W32/Dunno.k] virus. It looks like your computer is
infected with this dangerious virus, so i attached a
cleaner to this e-mail to clean your computer from the
virus... 

Asunto: urgent!! you sent me a virus! 
Texto: Hi, I just received a email from you containing the
W32/resudaB virus. 
It looks like your computer is infected with this dangerious
virus, so i attached a cleaner to this e-mail to clean your
computer from the virus... 

Asunto: haha 
Texto:

Asunto: Yo momma
Texto: hey wassup?, check out this awwwesommmeee Yo momma joke
generator, really funny, check it out!!
"Yo'momma so fat her nickname is 'DAMN'", LOL 

Asunto: Yo momma
Texto: hey wassup?, check out this awwwesommmeee Yo momma joke
generator, really funny, check it out!!
"Yo'momma so fat it say on her driver's license Picture
continued on back!", LOL 

Asunto: Yo momma
Texto: hey wassup?, check out this awwwesommmeee Yo momma joke
generator, really funny, check it out!!
"Yo'momma so fat the highway patrol made her wear Caution! Wide
Turn. !", LOL 

Asunto: Yo momma
Texto: hey wassup?, check out this awwwesommmeee Yo momma joke
generator, really funny, check it out!!
"Yo'momma so fat she has her own area code!", LOL 

Asunto: Yo momma
Texto: hey wassup?, check out this awwwesommmeee Yo momma joke
generator, really funny, check it out!!
"Yo'momma so fat she's got more Chins than a Hong Kong phone
book!", LOL 

Asunto: Yo momma
Texto: hey wassup?, check out this awwwesommmeee Yo momma joke
generator, really funny, check it out!!
"Yo'momma so fat she shaves her legs with a lawn mower!", LOL 

Asunto: Yo momma
Texto: hey wassup?, check out this awwwesommmeee Yo momma joke
generator, really funny, check it out!!
"Yo'momma so fat when a cop saw her he told her Hey you two
break it up!", LOL 

Asunto: Yo momma
Texto: hey wassup?, check out this awwwesommmeee Yo momma joke
generator, really funny, check it out!!
"Yo'momma so fat when she sweats everyone around her wears
raincoats!", LOL 

Asunto: Yo momma
Texto: hey wassup?, check out this awwwesommmeee Yo momma joke
generator, really funny, check it out!!
"Yo'momma so fat she wears two watches because she's in two
time zones!", LOL 

Asunto: Yo momma
Texto: hey wassup?, check out this awwwesommmeee Yo momma joke
generator, really funny, check it out!!

Asunto: Abuse from account 
Texto:  

En forma adicional, cada vez que el virus se carga en memoria, el mismo envía el siguiente mensaje a una dirección predeterminada:

Para: webmaster@islam.com 
Asunto: (_|_) 
Texto: Christianzzz rule

En todos ellos:

Adjunto: [nombre del ejecutable].exe (típicamente LED.EXE)

Si el usuario ejecuta el adjunto, este se copia a si mismo en la carpeta Windows. También modifica el registro, para ejecutarse automáticamente en los próximos reinicios del sistema.

HKLM\Software\Microsoft\CurrentVersion\Run\
W32/LED = C:\Windows\LED.EXE

El gusano examina luego, todas las unidades de almacenamiento locales, y ejecuta cualquier archivo en Visual Basic Script que pueda encontrar.

Además, en esa búsqueda, captura las direcciones de correo encontradas en archivos .DBX, .MBX, .HTML, .IDX, y .VBS. Esto incluye las bases de mensajes del Outlook, con todas las direcciones de correo de quienes nos han mandado mensajes, y a quienes les hemos enviados alguna vez.

Finalmente, se envía a si mismo, en un mensaje formado aleatoriamente con una de las variantes vistas anteriormente y con el propio gusano adjunto, a todas las direcciones recolectadas como ya vimos, utilizando la interface de programación MAPI del Outlook para hacerlo.

El gusano también crea un archivo de registro llamado xirtaM.txt (Matrix al revés), en el directorio raíz del disco duro:

C:\xirtaM.txt

También puede utilizar el mIRC, y el Microsoft Messenger, para propagarse.

Cómo borrar manualmente el virus

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee LED.EXE y pulse ENTER

3. Borre LED.EXE si aparece

4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

6. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada "W32/LED = C:\Windows\LED.EXE" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS