VSantivirus No. 658 - Año 6 - Viernes 26 de abril de 2002
W32/Maldal.K. Pide su opinión sobre la guerra
http://www.vsantivirus.com/maldal-k.htm
Nombre: W32/Maldal.K
Tipo: Gusano de Internet
Alias: WORM_MALDAL.K, W32.Maldal.K@mm
Tamaño: 53,760 bytes (21,504 bytes comprimido con UPX)
Fecha: 24/abr/02
Es un gusano, una variante de la serie W32/Maldal, que no tiene código destructivo, pero sí la capacidad de enviarse en forma masiva a todos los contactos de la libreta de direcciones.
El mensaje infectado que recibimos tiene estas características:
Asunto: FWD:Please read the message
Texto (1):
Whitehouse.gov invites you to give and share your opinion about the war in the Middle East .
Your voices may change the destny of two countries .
Palestine , Israel and peace .
These things are what you should write about.
Your message will be sent to Whitehouse.gov and it will be shown in the main page.
Downloade the Peace Messanger and send us your info :
http://mypage.ayna.com/whitehouse/MiddleastWar/Usersvoices
/PeaceMessanger.exe
Know that your message will not be ignored.
Thank you .
Whitehouse.gov
Datos adjuntos: PeaceMessanger.Exe
Otra variante:
Texto (2):
I've recieved a message from the Whitehouse.gov asking me to give my opinion about the war in the Middle East using the Peace Messanger I attached . Send your opinion and ask them to kill Sharon .
La ingeniería social usada por el creador del virus, intenta engañar al usuario para que envíe su opinión sobre la guerra entre Israel y Palestina nada menos que a la casa blanca norteamericana (aunque sea difícil de entender, aún son muchos quienes se creen estas cosas). Sin embargo, al estar el mensaje en inglés, disminuye las probabilidades de éxito con usuarios de habla hispana.
El gusano, no está encriptado, y algunas versiones están comprimidas con la utilidad UPX. El código está escrito en Visual Basic.
Cuando un usuario incauto, ejecuta el adjunto recibido, se muestra una ventana de diálogo donde se nos pide la opinión sobre la guerra mencionada, con opciones para completar diferentes campos con nuestros datos:
Peace Messanger
Write your message about the
war in the Middle East
_______________
First name: [_______________]
_______________
Last name: [_______________]
_______________
Country: [_______________]
_______________
Email: [_______________]
Your message:
___________________________
[ ]
[ ]
[ ]
[___________________________]
[ Send to Whitehouse.com ]
Cuando el usuario completa los datos, se genera un mensaje con los siguientes detalles:
Para: Bush <aaz111@hotmail.com>
Asunto: Middle East War Message
Texto:
Im <Nombre ingresado en "First" y "Last name"> from <País
ingresado en "Country">. My message is <contenido de lo
ingresado en el campo "Your message">
Datos adjuntos: PeaceMessanger.Exe
Mientras ingresamos los datos y se cumple todo el proceso, el gusano se copia a si mismo a la carpeta System de Windows
(C:\Windows\System, C:\WinNT\System32, etc.).
También modifica el registro para autoejecutarse en próximos reinicios:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
ZaCker = C:\Windows\System\PeaceMessanger.Exe
También crea las siguientes entradas en el registro:
HKEY_LOCAL_MACHINE\Software
aswear = C:\Windows\System\PeaceMessanger.Exe
HKEY_LOCAL_MACHINE\Software
Loves = "10"
HKEY_LOCAL_MACHINE\Software
DaLa = "5"
El programa se muestra como un icono de Windows para no resultar sospechoso.
También crea la siguiente entrada en el registro, que utiliza como marcador para mostrar o no la ventana de diálogo vista antes. Si el valor de
"Zacker" no es 5, se muestra la ventana, y se coloca el valor
5, de modo que la próxima vez que se ejecute el gusano, no aparezca la ventana con el formulario.
HKEY_LOCAL_MACHINE\Software
ZaCker = "5"
Luego de ello, el propio gusano modifica su archivo original por uno conteniendo solo texto, pero manteniendo su nombre original.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la entrada
"ZaCker".
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
8. Pinche en la carpeta "Software" y en el panel de la derecha busque y borre las entradas
"aswear", "Loves", "DaLa" y
"ZaCker".
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|