Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Modnar.A. Se envía cada vez que se ejecuta
 
VSantivirus No. 403 - Año 5 - Miércoles 15 de agosto de 2001

Nombre: W32/Modnar.A
Tipo: Gusano de Internet
Alias: Win32.Modnar.A@mm, W32/Modnar.A-mm
Fecha: 8/ago/01
Tamaño: 33 Kb aprox.

Este gusano, escrito en Visual C++, puede propagarse masivamente a través del correo electrónico, usando Outlook y Outlook Express. Está comprimido con la utilidad UPX 1.07.

Puede llegar a nuestra casilla, en un mensaje con las siguientes características:

Asunto: Un texto semi randómico, ejemplos:

i ityl ulbkhbnaadmgguvggxcfe!?

l jhogfbjpubehewxfqezjjwqzib!?

jirlx lftuytzseikl jyefugeec!?

lusdnokjr yqtv xthwdrczm wp!?

Texto: Un texto semi randómico, ejemplos:

l
rCkVWg n

FByw
vYE
pxlsRcHT
pE
Ms
EcqdoQki
j
E
liXZ
tl
S
q
KPmZ

Tcbrazzko gkazodslfiuyvctgcbqx!?

Archivo adjunto: Un nombre semi randómico, ejemplos:

muktngke.doc.pif

srqxnwjj.doc.pif

ebreenis.doc.pif

nuvnjutp.doc.pif

El tamaño del adjunto es de 33,280 bytes, y está comprimido con la utilidad UPX, siendo su tamaño normal de unos 176 Kb.

Cuando el adjunto es abierto por el receptor, inmediatamente comienza la fase de propagación en masa de los mensajes infectados.

Primero, obtiene los datos de los destinatarios de la libreta de direcciones, la cuál busca examinando el contenido de la siguiente clave del registro:

HKCU\Software\Microsoft\WAB\WAB4\Wab File Name

Para usar la información de la libreta, el gusano carga la librería que contiene el API (Application Programming Interface) que Windows usa para ello: wab32.dll.

Luego, utiliza sus propias rutinas MAPI para enviarse. Para ello, el gusano renombra el siguiente archivo:

C:\Windows\system\mapi32.dll

como

C:\Windows\system\mapi32x.dll

Luego, crea su propia copia de mapi32.dll, la que ejecuta la fase de envío masivo a todos los contactos de la libreta de direcciones.

Si no se encuentra instalado ni el Outlook ni el Outlook Express, o no hay contactos en la libreta de direcciones (o esta no existe) el gusano falla en su intento de propagarse.

El virus no se copia a si mismo, ni pretende permanecer activo en cada reinicio, de modo que la forma de prevenirse es simplemente no abrir ningún adjunto no solicitado.

Del mismo modo, la limpieza de un sistema infectado, solo consiste en la ejecución de uno o más antivirus al día.

Sin embargo, se deberá seguir este procedimiento para recuperar los archivos "mapi32.dll" y "mapi32x.dll" originales.

Windows 98 y Windows Me, incluyen herramientas para recuperar los archivos borrados. Para esto, es necesario tener a mano el CD de Windows 98 o Me, o los archivos de instalación (los .CAB) copiados en su disco duro. Luego siga estos pasos:

Windows 98

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba:

MAPI32.DLL

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

9. Repita los pasos 2 a 8 para extraer el archivo:

MAPI32X.DLL

Windows Me

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba:

MAPI32.DLL

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").

9. Repita los pasos 2 a 8 para extraer el archivo:

MAPI32X.DLL


Fuentes: Message Labs, Central Command
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS