|
VSantivirus No. 721 - Año 6 - Viernes 28 de junio de 2002
W32/MyPower.A. Adjuntos con doble extensión .ZIP.SCR
http://www.vsantivirus.com/mypower-a.htm
Nombre: W32/MyPower.A
Tipo: Gusano de Internet
Alias: WORM_MYPOWER.A, MYPOWER, MYPOWER.A, W32.MyPower @mm
Fecha: 26/jun/02
Plataforma: Windows 32-bits
Tamaño: 7,768 bytes (PE-Packed), 53 Kb descomprimido.
Fuente: Trend
Este gusano de envío masivo a través de Internet, tiene características destructivas. Escrito en Visual Basic 6.0 y comprimido con la utilidad PE-PACK, se propaga a través de mensajes con una serie de asuntos y textos predefinidos, y un adjunto con doble extensión, generalmente
.ZIP.SCR, mostrándose un icono de archivo ZIP, lo que lo sirve para engañar al usuario pensando es un archivo comprimido (en realidad la extensión .SCR es un tipo ejecutable que hará que el gusano se ejecute automáticamente al hacer doble clic sobre él).
Para propagarse utiliza el Microsoft Outlook, y como destinatarios utiliza toda la lista de contactos de la libreta de direcciones de Windows (.WAB, Windows Address Book).
También es capaz de borrar archivos, mostrar imágenes y reproducir sonidos.
Cuando se ejecuta por primera vez, el gusano muestra un mensaje de error falso para engañar al usuario. Aunque el usuario pinche en el botón
[Cancelar], el gusano se habrá ejecutado.
Primero, se copiará en los siguientes archivos:
A:\Setup.scr
%SYSTEM%\SSaver.scr
La variable %SYSTEM% corresponde a C:\Windows\System o
C:\WinNT\System32, etc.
También se copia a si mismo en la carpeta C:\Mis Documentos o
C:\Windows\System con los siguientes nombres:
Nature_TRIAL120679_Full.ZIP.scr
Water_TRIAL_BETA_080279A.ZIP.scr
Mystery_FIX_FULL_DEMO120492A.ZIP.scr
3DFx_Fix311258Beta_PATCH.ZIP.scr
DFxText_FULL281058_Demo.ZIP.scr
Fx3d_FULL_291182_DEMO.ZIP.scr
Nude_Patch_10110001_Beta.ZIP.scr
Animation_PATCH_12061979_Trial.ZIP.scr
SCRSAVE.EXE
Para autoejecutarse en cada reinicio de Windows, el gusano genera la siguiente entrada en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SSaver = C:\Windows\System\SSaver.scr
La carpeta C:\Windows\System puede variar según la versión de Windows instalada.
El virus modifica también el nombre de la computadora infectada por medio de la siguiente clave en el registro:
HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
ComputerName = -I-WORM-IWING-
Luego, agrega las siguientes líneas al archivo
C:\Windows\WIN.INI:
[EMAIL]
MAILED=TRUE
WORM NAME= I-Worm.Iwing
MY STATUS= IS HERE..!
En la segunda ejecución del gusano en una máquina infectada (luego que el sistema se reinicia después de la primera infección), se ejecuta una rutina destructiva que intenta borrar los siguientes archivos:
C:\My Documents\*.DOC
C:\My Documents\*.XLS
C:\Windows\*.INI
C:\Windows\*.DRV
C:\Windows\*.*
C:\Windows\System\*.*
Las carpetas C:\Windows y C:\Windows\System pueden variar según la versión de Windows instalada, y en todos los casos significa un grave daño a la estabilidad del sistema operativo.
El gusano se autoenvía también a toda la libreta de direcciones de Windows, utilizando el Outlook y Outlook Express.
El mensaje enviado tiene las siguientes características:
De: [la dirección del usuario infectado]
Asunto: [construido al azar con las siguientes palabras]
The
Best
New
Microsoft
Borland
ZDnet
Tucows
Screen
Program
Animated
Protection
Saver
Saving
Games
3DFx
Ejemplo de 'Asunto':
microsoft Program Protection Patch for Borland Animated 3DFx Studio
Texto: [seleccionado de las siguientes opciones]
Hey this is the program you been ask for, save it to disk and run this program, give me feed back ASAP OK...!
Dear Customer Thanks for your attentions to our programs, we glad you like it
this is the other program you been asking about, save it to Disk and run it..!
This file is needed by your antivirus program, save it to your disk, and run this patch your Antivirus security Patch will be updated soon..!
Dear Visitor, Thanks for submiting to our site, this is the file you ask for..:)
after you run this program you can access our site with no Password required..!
To : Microsoft Windows User
Dear Users, after we analize the problems you have been asking, with this file you can fix the problem in your MS-Windows, save this file to disk, and extract it in current Folder, and you will be prompt for installation folder.., and follow program instructions.
Datos adjuntos: [uno de los siguientes archivos:]
Nature_TRIAL120679_Full.ZIP.scr
Water_TRIAL_BETA_080279A.ZIP.scr
Mystery_FIX_FULL_DEMO120492A.ZIP.scr
3DFx_Fix311258Beta_PATCH.ZIP.scr
DFxText_FULL281058_Demo.ZIP.scr
Fx3d_FULL_291182_DEMO.ZIP.scr
Nude_Patch_10110001_Beta.ZIP.scr
Animation_PATCH_12061979_Trial.ZIP.scr
Setup.scr
En forma ocasional, el gusano crea el icono de un cráneo en la bandeja del sistema. Al pasar el puntero del ratón sobre el icono, el siguiente mensaje es mostrado:
Click Me For More Help and Informations..!
Haciendo clic sobre el icono, se abre una ventana de mensajes y se reproduce un sonido en el PC Speaker. El mensaje es mostrado en forma continua.
El siguiente texto se encuentra en el código del virus, y el mismo no es mostrado al usuario:
iwing@softhome.net - shadow_chaser@telkom.net Greetingz to Bcvg, Ikx, virusindo, 29A, Coderz,
and all Virus Writer I-WORM.Iwing (C) by. INDOVIRUS Writen By. Iwing
Sobre la doble extensión de los adjuntos
El virus utiliza el truco de la doble extensión para disimular la verdadera. Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
Más información:
VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es?
http://www.vsantivirus.com/sbam-extensiones.htm
Reparación manual
Debido a las características destructivas del gusano, si se ha ejecutado el borrado de archivos vitales de Windows, el reinicio del sistema podría ser imposible, debiéndose reinstalar Windows y los programas utilizados, o restaurar de respaldos anteriores, previo reinicio desde un disquete.
En Windows Me, si se tiene habilitada la opción 'Restaurar sistema', reinicie en modo seguro y siga las instrucciones mostradas en la pantalla.
Luego intente estos pasos:
1. Actualice y ejecute uno o más antivirus para revisar su sistema.
2. Borre los archivos que aparezcan como infectados.
3. Detenga el proceso del virus en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
4. En ambos casos, en la lista de tareas, señale las correspondientes a los nombres de archivos identificados en el punto 2.
5. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.
6. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
SSaver
9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Control
\ComputerName
\ComputerName
10. Pinche en la segunda carpeta "ComputerName" y en el panel de la derecha busque y modifique el nombre de la computadora en la entrada 'ComputerName'
haciendo doble clic sobre ella, y escribiendo el nombre anterior de la computadora.
11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
12. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
13. Borra las siguientes referencias bajo la sección [EMAIL]:
[EMAIL]
MAILED=TRUE
WORM NAME= I-Worm.Iwing
MY STATUS= IS HERE..!
14. Grabe los cambios y salga del bloc de notas.
15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|