VSantivirus No. 758 - Año 6 - Lunes 5 de agosto de 2002
W32/Moe.B. Gusano en español con 20 mensajes diferentes
http://www.vsantivirus.com/moe-b.htm
Nombre: W32/Moe.B
Tipo: Gusano Infector de archivos
Alias: W32/Onamu-B, WORM_MOE.B, I-Worm.Desos.b,
Win32.Onamu.b
Plataforma: Windows 32-bits
Lenguaje: Español
Tamaño: 16,384 bytes
Es un gusano con características polimórficas, capaz de reenviarse en forma masiva a través del Outlook. Busca las direcciones a las que se envía, en la libreta de Windows
(*.WAB), y en los archivos que coincidan con la siguiente máscara:
.HT*, dentro del directorio de archivos temporales de Internet. Para enviar los mensajes infectados, utiliza una conexión directa con el servidor SMTP por defecto del usuario infectado.
El gusano se propaga como adjunto a un mensaje que puede tomar varias formas al variar el asunto, texto y adjunto, seleccionados de una lista de 20 combinaciones:
Asunto: Seduccion
Texto: Cap.3 El arte de provocar.
Datos adjuntos: s_CAP3.EXE
Asunto: Humano
Texto: El Ser Humano que pudiste ser.
Datos adjuntos: HUMANO.EXE
Asunto: Musica
Texto: Esta es la musica que te prometi.
Datos adjuntos: MUSIC.EXE
Asunto: Mujer
Texto: La mujer mas bella...
Datos adjuntos: MUJER.EXE
Asunto: Hombre
Texto: Un hombre entero.
Datos adjuntos: HOMBRE.EXE
Asunto: Confesion
Texto: +Ya sabes que fui yo?.
Datos adjuntos: CONFESION.EXE
Asunto: Infidelidad
Texto: Las imagenes de tu infidelidad.
Datos adjuntos: INFIEL.EXE
Asunto: Belleza
Texto: +No estas conforme con tu apariencia?
Datos adjuntos: BELLEZA.EXE
Asunto: Relaciones casuales
Texto: Esta es la lista para esta semana.
Datos adjuntos: LISTArc.EXE
Asunto: Tus deseos
Texto: Si te conforman, puedo enviar mas.
Datos adjuntos: DESEOS.EXE
Asunto: Mi secreto
Texto: Recorda tu promesa!
Datos adjuntos: SECRETO.EXE
Asunto: La clave
Texto: No la vuelvas a perder, no abuses.
Datos adjuntos: CLAVE.EXE
Asunto: Enojo
Texto: Cuando veas esto, se te pasa.
Datos adjuntos: YO.EXE
Asunto: Perdon
Texto: Crei que ya lo habia enviado.
Datos adjuntos: FEOS.EXE
Asunto: Responde!
Texto: Nunca respondiste. No seas cruel.
Datos adjuntos: PASION.EXE
Asunto: Cita
Texto: Me gusto lo que enviaste. Si te gusta, arreglamos.
Datos adjuntos: CITA2.EXE
Asunto: Papelon
Texto: Te dije que es demasiado gorda. Mira!
Datos adjuntos: GORDA.EXE
Asunto: Renuncio
Texto: No puedo mejorarlo, ya es perfecto.
Datos adjuntos: CUERPO.EX
Asunto: Monstruo
Texto: Ahora te creo. Pobre mujer!
Datos adjuntos: MONSTRUO.EXE
Asunto: Joven
Texto: Disculpa, sos demasiado joven para mi.
Datos adjuntos: JOVEN.EXE
Los nombres del remitente están formados por una combinación de los siguientes listados de "Primer nombre", "Inicial del medio" y "Apellido":
Primer nombre:
Mario
Enzo
Nadia
Gabriel
Federico
Andrea
Laura
Patricia
Osvaldo
Sofia
Sandra
Javier
Cristina
Pablo
Cecilia
Ariel
Silvia
Emilio
Flavia
Jorge
Inicial del medio:
E.
M.
O.
R.
T.
A.
H.
P.
L.
Apellido:
Macchi
Rizzo
Rodriguez
Narvaez
Mosquera
Montagna
Miranda
Armitano
Kohan
Lewin
Machado
Miller
Ibarra
Gutierrez
Castro
Godoy
Ferreira
Ferrer
Chiappe
Chiesa
Las siguientes direcciones de correo están presentes en el código:
aldu5n_02@yahoo.com
mor8l_88@netscape.com
lime@illusive.org
lemax7@compuserve.com
xnto_678@hotmail.com
lecs2462@yahoo.com
4588bell@netscape.com
vvgro55@illusive.org
4653_trey@compuserve.com
wer937@hotmail.com
Cuando uno de los adjuntos mencionados es abierto por la víctima que recibe el mensaje, el gusano
muestra el siguiente mensaje de error, para engañar al
usuario sobre el verdadero cometido del adjunto recibido:
Windows
Command line option syntax error.
Type Command /? for Help.
[ Aceptar ]
El gusano se copia a si mismo en el directorio de Windows (C:\Windows o
C:\WinNT), con un nombre variable de 5 caracteres al azar y la extensión .EXE.
También modifica el registro para que en los próximos reinicios de Windows, el gusano se ejecute y permanezca residente en memoria:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[Nombre].EXE = "C:\Windows\[Nombre].EXE"
Donde [Nombre] es el nombre al azar del archivo usado
al copiarse a si mismo en su primera ejecución. Por ejemplo:
Esmtp = C:\Windows\Esmtp.exe
Luego de ello envía los mensajes infectados
de acuerdo a las condiciones descriptas antes.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Tome nota del archivo creado por el gusano en la carpeta de
Windows y bórrelo
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre
el archivo cuyo nombre coincida con el detectado previamente
en el punto 3
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
