Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Franriv.A. Creado con un kit para hacer juegos
 
VSantivirus No. 1130 Año 7, Lunes 11 de agosto de 2003

W32/Franriv.A. Creado con un kit para hacer juegos
http://www.vsantivirus.com/franriv-a.htm

Nombre: W32/Franriv.A
Tipo: Gusano de Internet (P2P)
Alias: Franriv, WORM_FRANRIV.A, Worm.W32/Franriv@P2P
Fecha: 8/ago/03
Tamaño: 1,274,037 bytes
Plataforma: Windows 32-bit
Reportado por: Trend Micro

Este gusano está creado con un kit de construcción de juegos (Game Maker), utilizado maliciosamente.

Se trata de "una prueba de concepto" que demuestra que algo así es posible. Sin embargo posee algunos errores que hacen que falle bajo determinadas circunstancias. Además, solo funciona en computadoras que tengan instalado Windows en la carpeta C:\WINDOWS (95, 98, Me y XP en su instalación por defecto).

Se propaga a través de la red de intercambio de archivos KaZaa.

Game Maker es una utilidad legítima, que permite crear video juegos en dos dimensiones que se ejecutan bajo Windows. Dicha herramienta, soporta funciones en forma de scripts, que pueden ejecutarse en respuesta a determinados eventos.

Algunas de estas funciones permiten que un juego construido maliciosamente, pueda manipular el registro del sistema, además de acceder a carpetas y archivos del mismo, ejecutando cualquier programa o código en forma local. Además, permite crear otros ejecutables en formato Win32 compilándolos a partir de un código fuente.

Este gusano está construido con dicha aplicación.

Cuando el gusano se ejecuta, comprueba si existe la carpeta C:\WINDOWS. En caso de no existir, finaliza su ejecución mostrando una ventana con fondo azul y el siguiente texto en grandes letras rojas (la primera frase: "W.66.France"), y aún más grande y letras negras la segunda ("Virus"):
W.66.France  Virus

Si por el contrario la carpeta existe, entonces se copia en ella con el siguiente nombre:

c:\windows\microsoftscanreg.exe

Luego, reproduce una secuencia de audio MIDI, mostrando al mismo tiempo un mensaje con el siguiente texto ("Erreur Rntime"):

Erreur Rntime                    

[    OK    ]

También modifica el registro para autoejecutarse en próximos reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Scanreg = c:\windows\microsoftscanreg.exe

Luego crea las siguientes subcarpetas dentro de C:\WINDOWS:

c:\windows\scanregfile\
c:\windows\scanregfile\kazaa\
c:\windows\scanregfile\kazaa\My Shared Folder

Se copia después dentro de ésta última, con los siguientes nombres:

Age Of Mythology FR CRACK.exe
Alcatraz Fr Crack.exe
Allopass + audiotel Keygen 2003.exe
Arx Fatalis FR CRACK.exe
Battlefield 1942 FR Crack.exe
Clone CD 5 keygen.exe
Delphi 5 fr crack keygen.exe
Delphi 6 fr crack keygen.exe
Delphi 7 fr crack keygen.exe
Dreamweaver MX keygen + crack by orran.exe
Fire-Works MX keygen + crack by orran.exe
Flash MX keygen + crack by orran.exe
Madden NFL 2003 FR CRACK.exe
Mafia Fr Nocd.exe
Medieval Total War Fr Crack.exe
Mega-Serial Microsoft Macromedia Borland Photoshop.exe
Nero FR 5.6 keygen + crack.exe
No One Lives Forever 2 FR CRACK.exe
Office XP fr Activation crack keygen.exe
Photoshop FR 7 keygen + crack by orran.exe
Sim City 4 FR Crack by zorio.exe
Unreal 2003 Fr Nocd.exe
Visual Basic fr 6.00 crack keygen.exe
Visual fr c++ crack keygen.exe
Visual.net fr Activation keygen crack.exe
Winace fr 4 keygen crack.exe
Windows XP Activation fr home Pro keygen 2003.exe
Windows XP fr home et pro SP1 crack.exe
Winrar fr 3.X keygen.exe
Winzip fr 8.X keygen crack.exe

Finalmente modifica el registro para que dicha carpeta sea compartida con otros usuarios del KaZaa:

HKCU\Software\Kazaa\LocalContent
DownloadDir =
"c:\windows\scanregfile\kazaa\my shared folder"


Reparación manual

Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Finalizando el proceso del virus en memoria

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la(s) siguiente(s):

MICROSOFTSCANREG.EXE

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre la carpeta SCANREGFILE y todos su contenido:

c:\windows\SCANREGFILE

También borre el siguiente archivo:

c:\windows\microsoftscanreg.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Microsoft Scanreg

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

5. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DownloadDir

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_USERS
\.DEFAULT
\Software
\Kazaa
\LocalContent

7. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

DownloadDir

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS