| |
VSantivirus No. 648 - Año 6 - Martes 16 de abril de 2002
W32/Moe.A. Gusano en español con 20 mensajes diferentes
http://www.vsantivirus.com/moe-a.htm
Nombre: W32/Moe.A
Tipo: Gusano Infector de archivos
Alias: PE_MOE.A, W32/Onamu-A, Win32.Onamu.E, I-Worm.Radix.a, I-Worm.Desos.a, Pe_Moe.A, W32/Moe, W95.Stoogy.6031, W32/Onamu@MM, W32/Moe@MM.worm, W95.Stoogy.worm@mm, Worm/Desos
Plataforma: Windows
Lenguaje: Español
Tamaño: 38,925 bytes
Es un gusano e infector de archivos ejecutables escrito en español, con características polimórficas, capaz de reenviarse en forma masiva a través del Outlook. Infecta archivos .EXE y .SCR (formato PE), y crea una copia de si mismo en el directorio de Windows.
El gusano se propaga como adjunto a un mensaje que puede tomar varias formas al variar el asunto, remitente, texto y adjunto, seleccionados de una lista de 20 opciones:
Asunto: Seduccion
Texto: Cap.3 El arte de provocar.
Datos adjuntos: s_CAP3.EXE
Asunto: Humano
Texto: El Ser Humano que pudiste ser.
Datos adjuntos: HUMANO.EXE
Asunto: Musica
Texto: Esta es la musica que te prometi.
Datos adjuntos: MUSIC.EXE
Asunto: Mujer
Texto: La mujer mas bella...
Datos adjuntos: MUJER.EXE
Asunto: Hombre
Texto: Un hombre entero.
Datos adjuntos: HOMBRE.EXE
Asunto: Confesion
Texto: +Ya sabes que fui yo?.
Datos adjuntos: CONFESION.EXE
Asunto: Infidelidad
Texto: Las imagenes de tu infidelidad.
Datos adjuntos: INFIEL.EXE
Asunto: Belleza
Texto: +No estas conforme con tu apariencia?
Datos adjuntos: BELLEZA.EXE
Asunto: Relaciones casuales
Texto: Esta es la lista para esta semana.
Datos adjuntos: LISTArc.EXE
Asunto: Tus deseos
Texto: Si te conforman, puedo enviar mas.
Datos adjuntos: DESEOS.EXE
Asunto: Mi secreto
Texto: Recorda tu promesa!
Datos adjuntos: SECRETO.EXE
Asunto: La clave
Texto: No la vuelvas a perder, no abuses.
Datos adjuntos: CLAVE.EXE
Asunto: Enojo
Texto: Cuando veas esto, se te pasa.
Datos adjuntos: YO.EXE
Asunto: Perdon
Texto: Crei que ya lo habia enviado.
Datos adjuntos: FEOS.EXE
Asunto: Responde!
Texto: Nunca respondiste. No seas cruel.
Datos adjuntos: PASION.EXE
Asunto: Cita
Texto: Me gusto lo que enviaste. Si te gusta, arreglamos.
Datos adjuntos: CITA2.EXE
Asunto: Papelon
Texto: Te dije que es demasiado gorda. Mira!
Datos adjuntos: GORDA.EXE
Asunto: Renuncio
Texto: No puedo mejorarlo, ya es perfecto.
Datos adjuntos: CUERPO.EX
Asunto: Monstruo
Texto: Ahora te creo. Pobre mujer!
Datos adjuntos: MONSTRUO.EXE
Asunto: Joven
Texto: Disculpa, sos demasiado joven para mi.
Datos adjuntos: JOVEN.EXE
Los nombres del remitente están formados por una combinación de los siguientes listados de "Primer nombre", "Inicial del medio" y "Apellido":
Primer nombre:
Mario
Enzo
Nadia
Gabriel
Federico
Andrea
Laura
Patricia
Osvaldo
Sofia
Sandra
Javier
Cristina
Pablo
Cecilia
Ariel
Silvia
Emilio
Flavia
Jorge
Inicial del medio:
E.
M.
O.
R.
T.
A.
H.
P.
L.
Apellido:
Macchi
Rizzo
Rodriguez
Narvaez
Mosquera
Montagna
Miranda
Armitano
Kohan
Lewin
Machado
Miller
Ibarra
Gutierrez
Castro
Godoy
Ferreira
Ferrer
Chiappe
Chiesa
Las siguientes direcciones de correo están presentes en el código:
aldu5n_02@yahoo.com
mor8l_88@netscape.com
lime@illusive.org
lemax7@compuserve.com
xnto_678@hotmail.com
lecs2462@yahoo.com
4588bell@netscape.com
vvgro55@illusive.org
4653_trey@compuserve.com
wer937@hotmail.com
Cuando uno de los adjuntos mencionados es abierto por la víctima que recibe el mensaje, el gusano crea una copia de si mismo en la carpeta de Windows. El nombre del archivo puede ser cualquiera, con la extensión .EXE.
También infecta otros archivos desde el actual directorio, donde el virus es ejecutado, y también en las carpetas
\Windows\ y \Windows\System.
Los archivos que infecta son con formato PE (Portable Executable), y con extensiones .EXE y .SCR.
También modifica el registro para que en los próximos reinicios de Windows, el gusano se ejecute y permanezca residente en memoria:
HKLM\Software\Microsoft\Windows\currentversion\Run
Suele mostrarse en ocasiones un mensaje específico, la primera vez que se ejecuta en la máquina infectada.
El gusano busca las direcciones en la libreta del Outlook, y envía un mensaje infectado (seleccionado de la lista que vimos antes) a todos los contactos de la misma.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Repare los archivos detectados como W32/Moe.A o Moe.A
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre cualquier entrada que tenga uno de estos nombres de archivos:
s_CAP3.EXE
HUMANO.EXE
MUSIC.EXE
MUJER.EXE
HOMBRE.EXE
CONFESION.EXE
INFIEL.EXE
BELLEZA.EXE
LISTArc.EXE
DESEOS.EXE
SECRETO.EXE
CLAVE.EXE
YO.EXE
FEOS.EXE
PASION.EXE
CITA2.EXE
GORDA.EXE
CUERPO.EX
MONSTRUO.EXE
JOVEN.EXE
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
9. Se sugiere volver a ejecutar uno o más antivirus actualizado, o utilizar F-Prot ejecutándolo desde un disquete, como se explica aquí:
VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete (actualizado)
http://www.vsantivirus.com/fprot-disq.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
