Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Laberinto. Simula ser el "Juego del Laberinto"
 
VSantivirus No. 827 - Año 6 - Sábado 12 de octubre de 2002

 W32/Laberinto. Simula ser el "Juego del Laberinto"
http://www.vsantivirus.com/laberinto.htm

Nombre: W32/Laberinto
Tipo: Gusano
Tamaño: 126,976 bytes
Origen: Perú 
Plataforma: Windows 32-bits
Fecha: 10/oct/02
Fuente: HackSoft

Este gusano requiere la acción del usuario para ser ejecutado (doble clic), y se propaga a través de disquetes, donde se presenta con el nombre de LABERINTO.EXE dentro de una carpeta denominada JUEGOS.

Al ejecutarse, el gusano muestra una ventana con el "Juego del Laberinto".

Al ejecutarse, el gusano muestra una ventana con el "Juego del Laberinto"

Mientras, el gusano se copia a si mismo en todas las carpetas del disco duro con el mismo nombre (LABERINTO.EXE) y con los atributos de oculto (+H).

El archivo se muestra con el icono que identifica a las páginas Web.

También crea los siguientes archivos:

C:\Archivos de Programa\Accesorios\Slipmenu.exe
C:\Archivos de Programa\Accesorios\Sqlnet.exe
C:\Windows\MsgSvr32.exe
C:\Windows\System\Kernl386.exe
C:\Windows\Microsoft Internet Office.exe
C:\Windows\System\Msinfo32.exe
C:\Windows\Escritorio\Juegos\Laberinto.exe
C:\Windows\Help\Keyb.exe

Sobrescribe además el archivo C:\Windows\System\mmc.exe con su propio código.

El gusano genera las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MsgSvr32 = C:\WINDOWS\MsgSvr32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = C:\WINDOWS\SYSTEM\Kernl386.exe

Además, modifica la página de inicio del Internet Explorer con las siguientes modificaciones:

HKEY_USERS\Software\Microsoft\Internet Explorer\Main
Start Page = http://www.Altavista.com/

HKEY_CURRENT_USERS\Software\Microsoft\Internet Explorer\Main
Start Page = http://www.Altavista.com/

El gusano permanece en memoria y cada cierto tiempo examina si existe un disquete disponible para ser escrito en la unidad A, en cuyo caso se copia con los siguientes nombres:

A:\Beca Integral (Inabit).Html .exe
A:\Almacen.exe
A:\Juegos\Laberinto.exe

Finalmente, si el antivirus "The Hacker" se encuentra en la máquina infectada, el gusano renombra como THDN32.EXE al archivo TH32.EXE ubicado por defecto en la carpeta The Hacker, y crea una copia de si mismo con el nombre original (TH32.EXE). De este modo cuando se pretenda examinar el sistema con el antivirus, se ejecutará el gusano.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros y disquetes

3. Borre los archivos detectados como infectados

Nota: Cómo algunos archivos del gusano se copian como archivos ocultos, vea el procedimiento descripto en "Mostrar las extensiones verdaderas de los archivos" para verlos y borrarlos.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

MsgSvr32 = C:\WINDOWS\MsgSvr32.exe

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

Driver32 = C:\WINDOWS\SYSTEM\Kernl386.exe

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS