Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Liac.A (Calil). Asunto: LILAC project video attach
 
VSantivirus No. 732 - Año 6 - Martes 9 de julio de 2002

W32/Liac.A (Calil). Asunto: LILAC project video attach
http://www.vsantivirus.com/liac-a.htm

Nombre: W32/Liac.A
Tipo: Gusano de Internet
Alias: W32.Liac.A@mm, W32.Liac@mm, WORM_LIAC.A, W32/Calil-A, W32/Liac@MM, Calil, W32/Calil, I-Worm.Calil, Worm/Calil
Fecha: 8/jul/02
Tamaño: 12,208 bytes
Plataformas: Windows 32-bits

Este gusano está escrito en Visual Basic 5.0 y comprimido con la utilidad 'Petite file compressor v2.2' (su tamaño comprimido es de 12,208 bytes).

Se propaga como adjunto en un mensaje con las siguientes características:

Asunto: LILAC project video attach
Texto: Things that the govt. dont want you to know
Datos adjuntos: LILAC_WHAT_A_WONDERFULNAME.avi.exe

La doble extensión lo hace ver como un archivo de video .AVI (.EXE queda oculto en una configuración estándar de Windows, más información en 'Cómo ver las extensiones de los archivos'). También muestra el icono de estos archivos.

Cuando el usuario hace doble clic sobre el presunto AVI, en realidad ejecuta al gusano, el cuál se copia como LILAC_WHAT_A_WONDERFULNAME.AVI.EXE en la carpeta de temporales de Windows. Para ello su código contiene las siguientes posibilidades:

C:\Win98\Temp
C:\Win95\Temp
C:\Winnt\Temp
C:\Winme\Temp
C:\Winxp\Temp
C:\Windows\Temp

Ej:

C:\Windows\TEMP\LILAC_WHAT_A_WONDERFULNAME.AVI.EXE

Al mismo tiempo muestra en pantalla un mensaje de error falso que simula un error en el reproductor Media Player para que el usuario no sospeche de que en realidad no se trata de un video:

Windows
Error54: Media Player not installed correctly
[    Aceptar    ]

Luego, el gusano intenta enviarse a si mismo a todas las direcciones de correo electrónico de la libreta del Microsoft Outlook (.WAB).

También modifica la siguiente entrada del registro para ejecutarse en forma automática en los siguientes reinicios de la computadora infectada:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Lilac = C:\Windows\temp\LILAC_WHAT_A_WONDERFULNAME.avi.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME y C:\WINNT en Windows NT/2000/XP).

El gusano también modifica las siguientes claves para mostrar una ventana con el título "Owned by:" y el mensaje "Owned by: xEnOcrAtEs" al iniciarse Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOwner = "xEnOcrAtEs"

HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon
LegalNoticeCaption = "Owned by:"

HKLM\Software\Windows\Current\Version\Winlogon
LegalNoticeText = "Owned by: xEnOcrAtE"

Los reportes actuales del gusano, informan de errores en su código que pueden causar que en ocasiones el adjunto (.EXE) tenga un tamaño de cero bytes, o que directamente no haya ningún adjunto.

En algunas ocasiones, el gusano puede mostrar una ventana con el siguiente texto:

Your PC is infected with LILAC virus by: xEnOcrAtEs

También se modifica el archivo AUTOEXEC.BAT para mostrar un mensaje en cada reinicio (Windows 9x):

echo MERRY CHRISTMASS AND A HAPPY NEW YEAR !!
echo HAPPY HALLOWEEN !!!
echo HAPPY VALENTINES DAY !!!
echo HAPPY LABOR DAY !!!
echo BONIFACIO DAY !!!
echo RIZAL DAY !!!
echo HAPPY INDEPENDENCE DAY !!!
echo HOLY WEEK !!!

En su código, contiene también el siguiente texto, que no es mostrado al usuario:

Things that the govt. dont want you to know


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el virus

4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\Windows\TEMP\LILAC_WHAT_A_WONDERFULNAME.AVI

o

C:\Windows\TEMP\LILAC_WHAT_A_WONDERFULNAME.AVI.EXE

6. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Lilac

9. Con los mismos pasos seguidos en el punto 7 y 8, busque las siguientes ramas del registro:

HKEY_LOCAL_MACHINE
\Software\Microsoft\Windows\CurrentVersion

HKEY_LOCAL_MACHINE
\Software\Microsoft\Windows\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE
\Software\Windows\Current\Version\Winlogon

Borre o modifique en esas entradas las siguientes claves:

RegisteredOwner [ponga el nombre del usuario registrado]
LegalNoticeCaption
[bórrela]
LegalNoticeText
[bórrela]

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Cómo ver las extensiones de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Más información:

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
10/jul/02 - Alias: I-Worm.Calil, Worm/Calil




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS