Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Madonna.A. Borra archivos, y formatea el disco duro
 
VSantivirus No. 330 - Año 5 - Domingo 3 de junio de 2001

Nombre: W32/Madonna.A
Tipo: Infector de archivos Win32
Alias: PE_MADONNA.A, Madonna, Madonna.A
Tamaño: 61,952 bytes

Este virus, capaz de infectar ejecutables en formato PE (Portable Executable) de Win32, puede también sobrescribir archivos en la carpeta de Windows. Por un error en su código, no puede propagarse vía e-mail, aunque lo intenta. Sin embargo, su capacidad destructiva permanece intacta, y además del borrado de archivos vitales de Windows, es capaz en determinado momento de formatear la unidad C.

Cuando se ejecuta, el virus sobreescribe los archivos infectados con su propio código.

Después de la infección, se generan y ejecutan los siguientes archivos:

MADONNA.HTM
ERROR.HTM

Ambos, muestran el siguiente texto:

CHARGEMENT EN COURS....
LOADING....
ERREUR DE CHARGEMENT
LOADING ERROR....
Please close this window,now
Fermer cette fenetre, maintenant

El virus también modifica el registro para poder ejecutarse en próximos reinicios del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
Madonna32 = %VirusPath%\MADONNA.EXE

La cadena %VirusPath% representa el camino donde se encuentra el archivo MADONNA.EXE, o sea el propio virus. Esta ubicación puede variar.

Luego, intenta enviarse a través del Outlook de Microsoft. Sin embargo, por un error en su código, agrega el cuerpo del mensaje al campo PARA:, donde debería ir la dirección del destinatario. Esto hace que la dirección de envío sea inválida y por lo tanto no se pueda llegar a enviar.

Cuando el virus se está ejecutando, modifica las barras de títulos con el siguiente mensaje:

Win32.I hate Madonna has take the power into your PC!!!!

Cuando la hora del sistema coincida con las 11 de la noche (11.00 PM), el virus muestra este mensaje, antes de hacer que Windows finalice y se reinicie la computadora:

Hey man, you see now that your PC is infected by me
Just now, you see that I HATE Madonna

Si en cambio la fecha del sistema es viernes 13, entonces muestra el siguiente mensaje, al mismo tiempo que formatea la unidad de disco C y luego reinicia la computadora:

Ha Ha Ha Ha!!!, Madonna Virus is in your computer...
and time is occurred to destroy your PC!!!!!!
Thanks to ZeMacroKiller98!!!

Para limpiar un sistema infectado, deberá ejecutar primero un antivirus actualizado. Sin embargo, algunos archivos pueden ser irrecuperables, debiéndose reinstalar Windows en algunos casos.

También deberá modificar el registro de Windows. Para ello, proceda de este modo:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
RunService

3. Pinche sobre la carpeta "RunService". En el panel de la derecha, busque y borre la siguiente clave:

Madonna32

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Aunque el virus no puede transmitirse por si solo vía e-mail, nada impide que pudiera ser enviado conscientemente (o mediante engaños) en un mensaje, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio.

También podría llegar a la computadora de la víctima al ser descargado de Internet, o copiado de disquetes, CDs, etc.

Fuente: Trend Micro
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS