Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

BAT/Krazyb.A. Asunto: Hi!, adjunto: KrAzY_BoI.bat
 
VSantivirus No. 765 - Año 6 - Lunes 12 de agosto de 2002

 BAT/Krazyb.A. Asunto: Hi!, adjunto: KrAzY_BoI.bat
http://www.vsantivirus.com/krazyb-a.htm

Nombre: BAT/Krazyb.A
Tipo: Gusano de Internet y troyano .BAT (MS-DOS Batch)
Alias: Krazyb, BAT_KRAZYB.A, VBS_KRAZYB.A, IRC_KRAZYB.A, BAT.Krazyb.A@mm
Fecha: 3/ago/02
Tamaño: 2,230 bytes, 573 bytes, 130 bytes
Plataforma: Windows 32-bits

Este gusano se propaga en un mensaje electrónico con un archivo .BAT adjunto, y es capaz de enviarse a toda la libreta de direcciones del Outlook y a los canales de chat usando el mIRC, además de borrar archivos correspondientes a conocidos antivirus.

El mensaje tiene estas características:

Asunto: Hi!

 Texto: Here's a great game for all ages.
IT's called blackjackel.Have a nice day :)

 Datos adjuntos: KrAzY_BoI.bat

Cuando se ejecuta, el gusano crea las siguientes copias de si mismo:

c:\KrAzY_BoI.bat
c:\windows\temp\donkey.bat

Después, si existe C:\KrAzY_BoI.bat, borra los siguientes archivos, pertenecientes a conocidos productos antivirus:

c:\programme\norton~1\s32integ.dll
c:\programme\f-prot95\fpwm32.dll
c:\programme\mcafee\scan.dat
c:\tbavw95\tbscan.sig

Luego, crea un archivo en Visual Basic Script en el raíz de la unidad C:

C:\X.VBS

Este archivo contiene la rutina de envío masivo a través del Outlook y Outlook Express, en mensajes como el descripto antes, que es enviado a todos los contactos de la libreta de direcciones.

Luego, busca y sobrescribe cualquiera de los siguientes archivos, correspondiente al cliente de IRC mIRC:

C:\Mirc\Mirc.ini
C:\Mirc32\Mirc.ini
C:\Progra~1\Mirc\Mirc.ini
C:\Progra~1\Mirc32\Mirc.ini

Copia también un SCRIPT.INI en cualquiera de dichas ubicaciones. El script creado por el gusano contiene las rutinas que permiten enviar el propio gusano vía 'DCC' a todos los demás usuarios conectados al mismo canal que se conecte el usuario infectado.

Después, el gusano intenta lanzar un ataque de denegación de servicio (D.o.S), enviando paquetes de información a los siguientes sitios:

www.hotmail.com
www.smutserver.com

Finalmente, el gusano sobrescribe el archivo AUTOEXEC.BAT, con el código que muestra el siguiente mensaje en cada reinicio de Windows (95 y 98):

00000000000000000000000000
KrAzY_BoI made a mark for adious
byebye
00000000000000000000000000


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Glosario:

DCC (Direct Client to Client) - Los archivos enviados entre usuarios participantes de un canal de chat (IRC) se transmiten por medio de una sesión denominada DCC (Direct Client to Client), que permite la transferencia directa de los mismos.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS