Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Maldal.J. Gusano y troyano en un solo archivo
 
VSantivirus No. 637 - Año 6 - Viernes 5 de abril de 2002

 W32/Maldal.J. Gusano y troyano en un solo archivo
http://www.vsantivirus.com/maldal-j.htm

Nombre: W32/Maldal.J
Tipo: Caballo de Troya y gusano de Internet.
Fecha: 4/abr/02
Tamaño: 24,064 bytes y 11,264 bytes
Fuente: Symantec

Gusano de envío masivo y troyano con capacidad de capturar todo lo tecleado por su víctima, son sus principales características.

Tiene la capacidad de enviar mensajes infectados a todos los contactos de la libreta de direcciones del Outlook y del MSN Messenger, y a todas las direcciones recolectadas de documentos HTML (páginas visitadas por ejemplo), encontradas en la máquina de su víctima.

El mensaje enviado contiene un enlace a un archivo llamado FixerData.exe. Cuando FixerData.exe se ejecuta, el mismo puede descargar otro archivo llamado Data.exe de un sitio específico de Internet, y luego, también ejecutarlo.

Data.exe es el componente usado para el envío masivo de mensajes infectados por el Maldal.J

El gusano puede borrarse a si mismo de una máquina infectada, sobre escribiéndose con un archivo de texto.

El mayor compromiso de seguridad de este troyano/gusano, es que puede capturar a través de lo tecleado por el usuario infectado en su máquina, información crítica como contraseñas, tarjetas de crédito, etc., información que es enviada al autor del virus.

Cuando el virus se ejecuta por primera vez, se muestra una pequeña ventana de diálogo con el siguiente texto:

Project1
Run time error '71:
Object required
[    OK    ]

El gusano se copia a si mismo a la carpeta Windows\System y luego se sobrescribe a si mismo borrando su propio ejecutable con un texto que consiste en el camino completo y el nombre del archivo del propio gusano (que cambia en cada infección). El gusano guarda el contenido de lo tecleado por la víctima en la computadora infectada, en el archivo:

C:\Windows\System\<NOMBRE DEL GUSANO>.txt

Por ejemplo, si el nombre original del adjunto infectado recibido era TEST.EXE (este archivo queda en C:\Temp\Test.exe.), el gusano se copia a si mismo a la siguiente ubicación:

C:\Windows\System\Test.exe

Luego, sobrescribe el archivo original (C:\Temp\Test.exe), con contenido solo ASCII que consiste en la cadena "C:\Temp\Test.exe".

El archivo de registro con todo lo tecleado se guarda en:

C:\Windows\System\Test.txt

El gusano envía el contenido de este archivo a su autor.

Luego, hace una búsqueda en toda la computadora de direcciones electrónicas de correo (archivos .HTML y .HTM, y las listas de contacto del Outlook y del Messenger, enviando a todas ellas un mensaje infectado con su propio código.

El mensaje infectado tiene estas características:

Texto (uno de los siguientes):

1.

I've got this surprise for you ;)
I know what you need at this **** time.
<enlace para descargar el componente FixerData.exe>
Have fun and don't forget :P YOU KNOW
WHAT I MEAN !
bye


2.

Dear User,
McAfee.com has recieved an alert from you.
We believe that you are infected with
W32/ZaCker.Trojan@MM. This High Risk virus allows
hackers to control your PC.
To clean and protect your PC from the virus :
<enlace para descargar el componente FixerData.exe>
For more information about the virus :

Sincerely, 
McAfee.com 
Copyright 
2002 McAfee.com Corporation / All Rights Reserved.

El gusano también realiza el siguiente cambio en el registro de Windows, para ejecutarse en cada reinicio del PC:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
<NOMBRE DEL GUSANO> = C:\Windows\System\<NOMBRE DEL GUSANO>.exe

Y además:

HKEY_LOCAL_MACHINE\Software
Day = <actual día del mes>
Start = 5
Path = <camino del gusano>
Mail = 5

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por W32/Maldal.J o similar

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

<NOMBRE DEL GUSANO> = C:\Windows\System\<NOMBRE DEL GUSANO>.exe

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software

8. Pinche en la carpeta "Software" y en el panel de la derecha busque y borre las siguientes entradas:

Day = <actual día del mes>
Start = 5
Path = <camino del gusano>
Mail = 5

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS