| |
VSantivirus No. 751 - Año 6 - Lunes 29 de julio de 2002
W32/Langex.A. Datos adjuntos: LANG.EXE (3,072 bytes)
http://www.vsantivirus.com/langex-a.htm
Nombre: W32/Langex.A
Tipo: Gusano de Internet
Alias: WORM_LANGEX.A, I-Worm.Langex
Fecha: 26/jul/02
Tamaño: 3,072 bytes
Plataforma: Windows 32-bits
Este gusano se propaga a través de mensajes con adjuntos infectados. El propio gusano es un archivo en formato PE (Portable
Executable), escrito en Assembler, por lo que su tamaño es de tan solo
3 Kb.
El gusano se activa cuando el usuario abre el adjunto (doble clic). No se instala a si mismo (no modifica ningún archivo de inicio ni el registro de Windows), ni se activa de ninguna otra manera, salvo que el usuario vuelva a ejecutar el archivo adjunto con un doble clic.
El gusano utiliza las funciones MAPI de Windows (Messaging Application Program Interface) para generar y enviar sus mensajes. Para lo primero, obtiene los mensajes recibidos en la bandeja de entrada y los "responde", insertando un texto propio de respuesta, más el mensaje original.
Este es un ejemplo de mensaje enviado:
Asunto:
Re:
[más asunto original del mensaje respondido]
Texto:
CLIENT NOTICE: the recipient viewed your message and this is the reply message (original version of your message is shown after this text). Due to the differences of text encoding method used by the recipient and the method used on this system, the needed language pack is attached to this message. If the the corrections will be applied, you will be able to read the reply message.
[se agrega a continuación el texto del mensaje respondido]
Datos adjuntos:
LANG.EXE
(3,072 bytes)
Luego de ello el mensaje respondido es borrado de la base de mensajes. Esto se hace con cada mensaje de la bandeja de entrada.
El gusano contiene el siguiente texto en su código (no visible por el usuario):
Simple MAPI demonstration : kahuna/TKT
El virus hace uso de las siguientes APIs de Windows (correspondientes a funciones MAPI):
MAPILogon
MAPILogoff
MAPIFindNext
MAPIDeleteMail
MAPIReadMail
MAPISendMail
Reparación manual
Para eliminar manualmente este gusano de un sistema infectado, actualice sus antivirus y realice un escaneo de sus discos, borrando los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Glosario
ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles
API (Application Program Interface). Interface de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.
MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
