Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W95/Linong@MM. Envío masivo. Libera el LoveLetter.cq
 
VSantivirus No. 354 - Año 5 - Miércoles 27 de junio de 2001

Nombre: W95/Linong@MM
Tipo: Gusano de Internet
Alias: W32.Liong
Fecha: 26/jun/01
Tamaño: 362,496 bytes

Es un gusano en formato ejecutable de 32 bits, capaz de autoenviarse masivamente vía e-mail, y que además puede liberar un virus de Visual Basic Script llamado VBS/LoveLetter.cq@MM.

Solo funciona en Windows 9x y Me. Cuando el ejecutable es abierto por el usuario, el gusano se envía a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, seleccionando al azar alguno de los siguientes formatos:

Asunto: Bill
Texto: Bill..
Archivo adjunto: BillGate.exe

Asunto: Password
Texto: Here The list of Nude Password Website. All of
them Still Active, and few of them are death password 
Archivo adjunto: 868879.exe

Asunto: MyGirlFriend' Dogs
Texto: Nice dog...
Archivo adjunto: BullBull.exe

Asunto: Sexy Model
Texto: Did you ever see the sexy girls like her
Archivo adjunto: Sexy.Exe

Asunto: Olive & Popeye
Texto: Olive And Popeye Cartoon
Archivo adjunto: Olive.exe

Asunto: Sweet Lovely
Texto: My Icq Friend Sweet Lovely
Archivo adjunto: Lovely.exe 

Asunto: Info From CFusion
Texto: You can update your Cfusion Online For Free
Archivo adjunto: CFusion.Exe

Asunto: Still Remember You
Texto: She is MY sexy Linong
Archivo adjunto: MyLinong.exe

Asunto: Man Choice
Texto: Are You Man or women. This is The sponser from our
site The man choice
Archivo adjunto: StarMild.exe

Asunto: Need Help
Texto: Do you need help ? to get money over the internet.
You can read the help
Archivo adjunto: Help.exe

Asunto: Light up The Night
Texto: Light up The Night PARTY...
Archivo adjunto: Light up the night.exe

Asunto: Patch Your CFusion
Texto: Are You Ready Fix Your Cfusion,Please Update
Archivo adjunto: PatchFusion.exe

El gusano se copia a si mismo en el directorio WINDOWS con el siguiente nombre:

C:\Windows\PCpower.exe

En el directorio del sistema de Windows, se copia con este nombre:

C:\Windows\System\MyLinong.Exe

Y además, con uno de los siguientes nombres seleccionado al azar:

C:\Windows\System\868879.exe
C:\Windows\System\BullBull.exe
C:\Windows\System\CFusion.Exe
C:\Windows\System\Help.exe
C:\Windows\System\Kiss.Exe
C:\Windows\System\Light up the night.exe
C:\Windows\System\Lovely.exe
C:\Windows\System\Moly.exe
C:\Windows\System\Olive.exe
C:\Windows\System\PatchFusion.exe
C:\Windows\System\Popeye.exe
C:\Windows\System\Sexy.Exe
C:\Windows\System\StarMild.exe

Luego modifica el registro de Windows, para ejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MyLinong = C:\WINDOWS\SYSTEM\MyLinong.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PCPower = C:\WINDOWS\PCpower.exe

También se generan en la computadora infectada, 501 carpetas como las siguientes:

C:\Linong I Love U So Much Linong For ever My Love0
C:\Linong I Love U So Much Linong For ever My Love1
C:\Linong I Love U So Much Linong For ever My Love2
[...]
C:\Linong I Love U So Much Linong For ever My Love500

El virus también crea un archivo en Visual Basic Script de 10,175 bytes (contiene el gusano VBS/LoveLetter.cq@MM) en esta ubicación:

C:\Windows\System\MyLinong.VBS

También modifica el registro para que este script se ejecute al iniciarse Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Linong = C:\WINDOWS\SYSTEM\MyLinong.vbs


Como sacar el virus de un sistema infectado


Para eliminar el virus manualmente, siga estos pasos (para limpiar el sistema en Windows Me, deberá deshabilitar la herramienta "Restaurar sistema" antes):

1. Primero ejecute un antivirus al día.

2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

MyLinong
PCPower
Linong

5. Utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Busque y elimine los siguientes archivos, si estos se encuentran en su sistema:

C:\Windows\PCpower.exe
C:\Windows\System\MyLinong.Exe
C:\Windows\System\868879.exe
C:\Windows\System\BullBull.exe
C:\Windows\System\CFusion.Exe
C:\Windows\System\Help.exe
C:\Windows\System\Kiss.Exe
C:\Windows\System\Light up the night.exe
C:\Windows\System\Lovely.exe
C:\Windows\System\Moly.exe
C:\Windows\System\Olive.exe
C:\Windows\System\PatchFusion.exe
C:\Windows\System\Popeye.exe
C:\Windows\System\Sexy.Exe
C:\Windows\System\StarMild.exe
C:\Windows\System\MyLinong.VBS

7. Si existen, borre las 501 carpetas como estas:

C:\Linong I Love U So Much Linong For ever My Love0
C:\Linong I Love U So Much Linong For ever My Love1
C:\Linong I Love U So Much Linong For ever My Love2
[...]
C:\Linong I Love U So Much Linong For ever My Love500

8. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

9. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.


Nota: Este gusano también libera el
VBS/LoveLetter.cq@MM. Vea la descripción de ambos para eliminarlos correctamente de su sistema.


Usuarios de Windows Me

Para limpiar el sistema en Windows Me, deberá deshabilitar la herramienta "Restaurar sistema" como se indica a continuación, y luego correr un antivirus en "Modo a prueba de fallos", iniciando la PC con la tecla CTRL pulsada hasta que aparezca la pantalla para seleccionar esta opción.

Cómo deshabilitar la herramienta "Restaurar sistema" en Windows Me

1. Pulse con el botón derecho sobre el icono Mi PC del escritorio
2. Pinche en la lengüeta "Rendimiento"
3. Pinche sobre el botón "Sistema de archivos" en "Configuración avanzada"
4. Seleccione la lengüeta "Solución de problemas"
5. Marque la casilla "Deshabilitar Restaurar sistema"
6. Pinche en el botón "Aplicar"
7. Pinche en el botón "Cerrar" de Propiedades de Sistema de archivos
8. Pinche en el botón "Cerrar" de Propiedades de Sistema
9. Cuando se le pregunte si desea reiniciar el sistema conteste que SI

De este modo la utilidad "Restaurar sistema" quedará deshabilitada

Luego reinicie la computadora en "Modo a prueba de fallos" (pulse F8 o mantenga CTRL pulsada al reiniciar la computadora), y ejecute un antivirus al día para borrar los archivos infectados.

Para volver a habilitar la herramienta "Restaurar sistema", reitere los pasos anteriores, desmarcando la casilla "Deshabilitar Restaurar sistema" en el punto 5.


Ver también:
27/jun/01 - VBS/LoveLetter.cq@MM. Gusano liberado por W95/Linong@MM
07/may/00 - Especial sobre el LoveLetter


Fuente: Network Associates
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS