Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Mafeg.B. Infecta archivos PE y se propaga por redes
 
VSantivirus No. 1215 Año 8, Martes 4 de noviembre de 2003

W32/Mafeg.B. Infecta archivos PE y se propaga por redes
http://www.vsantivirus.com/mafeg-b.htm

Nombre: W32/Mafeg.B
Tipo: virus y gusano
Alias: W32.Mafeg.B, Bloodhound.W32.1, W32/MGF
Variante: W32/Mafeg.A
Fecha: 1/nov/03
Plataforma: Windows 32-bit
Tamaño: 4,768 bytes
Reportado por: Symantec

Se trata de un virus residente en memoria, que infecta archivos, y se propaga como gusano a través de recursos compartidos en redes.

Cuando se ejecuta, crea el siguiente archivo en el sistema de su víctima:

c:\windows\system\UnBlaster.exe

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Agrega la siguiente entrada en el registro de Windows, cada vez que se ejecuta:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
UnBlaster.exe = UnBlaster.exe

Si el sistema es Windows NT, 2000, XP o Server 2003, el virus intentará infectar el archivo C:\NTLDR. En equipos basados en Intel x86, el sector de booteo (inicio) de la partición activa del disco carga un archivo con los atributos de oculto, de sistema y de sólo lectura, llamado NTLDR, que se encuentra en el directorio raíz de la partición del sistema, y es el responsable de cargar el Sistema Operativo.

También infectará todos los accesos directos disponibles en el escritorio de Windows.

Infecta además, archivos en formato PE, cada vez que alguno es ejecutado, infectando rápidamente a todos los ejecutables de Windows y de las aplicaciones más utilizadas.

Examina todos los recursos compartidos disponibles. Si los encuentra, intentará copiarse a si mismo en la carpeta de inicio de cada computadora remota de la red.

El cuerpo del virus contiene un texto en chino, que solo será mostrado en las versiones chinas de Windows. Además, esto ocurre solo si el mes actual es 3, 6, 9 o 12 y el día de la semana es viernes o sábado.

No posee rutina de propagación vía Internet, pero un archivo infectado podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargada de sitios maliciosos, o a través de redes P2P.


Reparación manual

Antivirus

Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Runonce

3. Pinche en la carpeta "Runonce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

UnBlaster.exe = UnBlaster.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS