Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

BAT/Jerm.A. Llega en un mensaje "Upgrade to Windows XP"
 
VSantivirus No. 710 - Año 6 - Lunes 17 de junio de 2002

BAT/Jerm.A. Llega en un mensaje "Upgrade to Windows XP"
http://www.vsantivirus.com/jerm-a.htm

Nombre: BAT/Jerm.A
Tipo: Virus y gusano de Internet
Alias: BAT_JERM.A, I-Worm.Jerm, BAT/Jerm.Dropper, IRC_JERM.A, VBS_JERM.A
Plataforma: Windows
Tamaño: 2,083 bytes
Fuente: Trend

Este archivo .BAT llega en un mensaje, y posee componentes para transmitirse en forma de gusano a través del correo electrónico y de los canales de IRC.

El mensaje que lo transporta tiene estas características:

Asunto: Upgrade to Windows XP

Texto:
Good news from Microsoft. Click the attachment
for your free Windows XP. Upgrade to Windows XP now.

Datos adjuntos: UpgradeToWindowsXP.bat

Si el usuario hace doble clic sobre el adjunto, el bat realiza las siguientes acciones:

1. Se copia a si mismo en la carpeta de Windows:

C:\Windows\UpgradeToWindowsXP.bat

2. Sobrescribe el archivo SCRIPT.INI del programa mIRC si éste se encuentra en el sistema en la siguiente ubicación, con código que permite el envío del propio virus (UpgradeToWindowsXP.bat) a todos los usuarios conectados al mismo canal de chat que el usuario infectado:

C:\mIRC\SCRIPT.INI

Los datos agregados son identificados como IRC/Jerm.A (126 bytes) por los antivirus actualizados.

3. Crea una carpeta XP en la unidad C, con atributos de solo lectura y oculto (+R +H). En ese directorio se copia a si mismo con el nombre de XP.BAT y los atributos normales.

C:\xp\XP.BAT

4. Crea el siguiente archivo de registro:

C:\XPUpdate.reg

Dicho archivo tiene las modificaciones que agregará al registro de Windows para autoejercutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PX = c:\xp\xp.bat

5. Ejecuta una destructiva rutina que sobrescribre todos los archivos .DAT de la siguiente ubicación (actualizaciones del VirScan de McAfee), con copias del propio virus:

C:\progra~1\mcafee\mcafee~1\*.dat

6. Crea un script de Visual Basic (.VBS), con atributos de sistema y oculto (+S +H):

C:\X.VBS (760 bytes)

Este archivo contiene el gusano VBS/Jerm.A, encargado del envío masivo del virus a todos los contactos de la libreta de direcciones del Outlook, utilizando comandos MAPI (Messaging Application Programming Interface) para ello. El mensaje enviado es igual al recibido anteriormente.

7. El script agrega también, las siguientes entradas al registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
XXP = c:\xp\xp.bat

8. El virus abre varias sesiones del Internet Explorer e intenta conectarse al sitio 
http://www.yahooka.com. También envía en forma continua PINGS al sitio www.hotmail.com, comprometiendo el tráfico de Internet.

Se recomienda precaución al recibir archivos a través de los canales de IRC, lo mismo que por medio del correo electrónico. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Asegúrese de ver todos los archivos, incluso ocultos y de sistema.

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

4. Borre los archivos detectados como infectados por el virus

5. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\XP (borre la carpeta, la misma contiene a XP.BAT)
C:\Windows\UpgradeToWindowsXP.bat
C:\X.VBS
C:\XPUpdate.reg

6. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

XXP           "c:\xp\xp.bat"
PX           "c:\xp\xp.bat"

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Glosario:

IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.

MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.

PING (Packet INternet Groper) - Comando usado para comprobar las conexiones a uno o más hosts remotos. Emplea paquetes ICMP de petición de eco y respuesta de eco para determinar si un sistema IP concreto de una red es funcional. Es útil para diagnosticar fallos IP de la red o del enrutador.

ICMP (Protocolo de mensajes de control de Internet) - Es una extensión del Protocolo de Internet (IP), y permite generar mensajes de error, paquetes de prueba y mensajes informativos relacionados con IP. Básicamente, se usa para comprobar la existencia de la máquina consultada.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS