VSantivirus No. 847 - Año 7 - Viernes 1 de noviembre de 2002
W32/Mylka.A. Varios mensajes. Puede formatear el disco C
http://www.vsantivirus.com/mylka-a.htm
Nombre: W32/Mylka.A
Tipo: Gusano de Internet
Alias: Mylka, BAT/Mylka.A
Fecha: 31/oct/02
Tamaño: 49,152 bytes
Plataforma: Windows 32-bits
Fuente: Panda
Según reporta Panda, el W32/Mylka.A es un gusano programado en Visual Basic 5, que se propaga a través del correo electrónico en mensajes que pueden variar. En ocasiones puede venir de un conocido, y en otras simular ser enviado por una compañía antivirus. También puede propagarse a través de la aplicación de mensajería instantánea ICQ.
El un gusano muy destructivo, pudiendo borrar archivos de conocidas aplicaciones antivirus, todos los archivos de Windows y hasta formatear el disco duro en determinadas circunstancias.
Los mensajes electrónicos con el virus, poseen algunas de estas características (se ejecutan por tan solo leer el mensaje o verlo en el panel de vista previa):
Opción 1:
Hi!
Long time no see! I think you don't remember me!
Open a file that I attached for you, It's about
me and you about ten years ago. I made it with
Macromedia Flash 6.0.
Your Old Friend Arnold Lavoc
Opción 2:
Dear customer of Symantec Corp.
We have send to you a virus removal for
W32.BugBear@mm version 1.40.
There are many bugs are fixed. Download
immediately an run it to prevent this worm
from spread.
By Arnold Lavoc
Editor of Symantec Corp.
Opción 3:
Dear Customer of McAfee VirusScan,
We have already create a patch for McAfee Virus
Scan 7.0 product because we have detected that
the monitor scan technology does not function
correctly when the virus is detected. To prevent
this problem please download an attachment and
run it into the current directories. It will
search an patch automatically when it found.
By Arnold Lavoc
Editor of Networks Associates Technology, Inc.
MILAN SYSTEM SECURITY CENTER
Opción 4:
Dear Customer,
Do you want to learn more about virus or make
your own virus. We have attached to you a file
that can teach you how to make and prevent the
virus. This file also thrustly and have a Digital
Signature to give to you more trustly of this
product. You can learn more about this utility at
http://www.mssc.com/index.html to learn more about
this powerful utilities.
By Arnold Lavoc
Manager Of Milan System Security Center
Opción 5:
IMPORTANT!
PREVENT FROM VIRUS!
ALERT! AND WARNING!
Run away!
Got Special Offer!
El archivo adjunto a cada uno de estos mensajes, puede ser uno de los siguientes:
FX09302.EXE
INSTALL0221.EXE
JUMP0001.EXE
SETUP.EXE
SETUP93028.EXE
Cuando se ejecuta por primera vez, crea los siguientes archivos:
C:\Windows\setup.exe
C:\Windows\System\Setup32.exe
C:\lymark.exe.bat
Luego, ejecuta el archivo LYMAK.EXE.BAT, que es el encargado de borrar las aplicaciones antivirus y los archivos de la carpeta Windows como veremos más adelante.
El gusano también modifica el archivo AUTOEXEC.BAT para que al reiniciarse la computadora, se proceda a formatear la unidad C. Esto funciona solo en Windows 95, 98 y Me.
También crea la siguientes entradas en el registro para autoejecutarse en próximos reinicios del sistema (si ya no se borraron los archivos mencionados antes):
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = setup.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = Setup32.exe
Una vez activo, el gusano intentará enviarse a toda la libreta de direcciones del Outlook y Outlook Express, en un mensaje similar a los ya descriptos.
El gusano busca también la existencia del ICQ, intentando examinar archivos con extensión
.UIN. Si los encuentra, se enviará a los contactos del ICQ, extraídos de dichos archivos, cuando alguno de esos usuarios esté conectado al programa.
El gusano también puede borrar los siguientes archivos, pertenecientes a conocidos productos antivirus:
C:\Progra~1\Avpersonal\Antivir.vdf
C:\Progra~1\F-prot95\Fpwm32.dll
C:\Progra~1\Kasper~1\Avp32.exe
C:\Progra~1\Mcafee\Scan.dat
C:\Progra~1\Norton~1\*.exe
C:\Progra~1\Norton~1\S32integ.dll
C:\Progra~1\Tbav\Tbav.dat
C:\Progra~1\Trojan~1\Tc.exe
C:\Tbav95\Tbscan.sig
Además, finaliza en memoria, cualquiera de los siguientes procesos que se está ejecutando:
_AVPM.EXE
APLICA32.EXE
AVCONSOL.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
LOCKDOWN2000.EXE
NAVAPW32.EXE
NAVW32.EXE
PCFWallIcon.EXE
TDS2-98.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
Finalmente, borra todos los archivos de la carpeta C:\Windows. Si se reinicia después de haberse modificado el archivo
AUTOEXEC.BAT, también puede formatear la unidad C.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Borrar los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows\setup.exe
C:\Windows\System\Setup32.exe
C:\lymark.exe.bat
Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
(Predeterminado) = setup.exe
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
(Predeterminado) = Setup32.exe
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre todas las líneas que contengan el comando FORMAT si ésta existiera:
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Actualizar Internet Explorer
Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:
Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm
O instale el IE 6.0, Service Pack 1 (SP1):
Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|