VSantivirus No. 719 - Año 6 - Miércoles 26 de junio de 2002
W32/MyPower.B. Envío masivo, múltiples asuntos y adjuntos
http://www.vsantivirus.com/mypower-b.htm
Nombre: W32/MyPower.B
Tipo: Gusano de Internet
Alias: W32.MyPower.B@mm, Win32.MyPower.B
Fecha: 24/jun/02
Tamaño: 28,672 bytes
Plataformas: Windows 9x, Me, NT, 2000, XP
Fuente: Symantec, Central Command
Se trata de un gusano con capacidad de envío masivo, que utiliza toda la lista de contactos de la libreta de direcciones de Windows
(.WAB) para autoenviarse.
Los mensajes poseen varios asuntos, creados al azar con palabras seleccionadas de esta lista:
New
Patch for
Crack For
The Best
microsoft
Borland
ZDnet
Tucows
Windows
Program
Animated
Protection
Saver
Fixed
Saving
Games
3DFx Studio
El archivo adjunto (de 28,672 bytes) también es seleccionado randómicamente, de una lista predeterminada entre 8 posibilidades, y con extensión
.EXE o .SCR.
Setup98_Microsoft_patch120679.exe
Borland_Install32_Beta080279.exe
Install32_Beta12061979_Fixed.exe
Install_Wizard.exe
3DFxText_FULL281058_DEMO.exe
Fx3d_FULL_291182_DEMO.exe
Nude_Patch_10110001_BETA.exe
Animations_PATCH_SETUP.scr
El gusano está escrito en Microsoft Visual Basic, y su código, un archivo en formato PE, está comprimido con la utilidad PE-Pack.
Cuando el usuario ejecuta el archivo adjunto, un mensaje de error falso es mostrado:
Installation Problems
Cannot find setup files, some files is missing or not
intalled properly, if you run this internet or
Network, you must save this file to any folder and
run this file from the folder you choose
[ Abort ]
Luego se copia a si mismo a las siguientes ubicaciones:
A:\Setup.exe
C:\%System%\I386.exe
C:\%System%\3DFX.scr
C:\%System%\Setup98_Microsoft_patch120679.exe
C:\%System%\ Borland_Install32_Beta080279.exe
C:\%System%\Install32_Beta12061979_Fixed.exe
C:\%System%\ Install_Wizard.exe
C:\%System%\ 3DFxText_FULL281058_DEMO.exe
C:\%System%\ Fx3d_FULL_291182_DEMO.exe
C:\%System%\ Nude_Patch_10110001_BETA.exe
C:\%System%\ Animations_PATCH_SETUP.scr
C:\My Documents\Setup98_Microsoft_patch120679.exe
C:\My Documents\ Borland_Install32_Beta080279.exe
C:\My Documents\ Install32_Beta12061979_Fixed.exe
C:\My Documents\ Install_Wizard.exe
C:\My Documents\ 3DFxText_FULL281058_DEMO.exe
C:\My Documents\ Fx3d_FULL_291182_DEMO.exe
C:\My Documents\ Nude_Patch_10110001_BETA.exe
C:\My Documents\ Animations_PATCH_SETUP.scr
La variable %System% representa la carpeta del sistema de Windows, por defecto
C:\Windows\System o C:\Winnt\System32.
Luego modifica la siguiente entrada del registro, para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
I386 = C:\%System%\I386.exe
También agrega la siguiente información al archivo
C:\Windows\Win.ini:
[EMAIL]
MAILED=TRUE
Luego, se envía a si mismo a toda la libreta de direcciones de Windows, con asunto y datos adjuntos seleccionados al azar como se explica más arriba, y con uno de los siguientes textos en su cuerpo:
Hey this is the program you been ask for,
save it to disk and run this program, give
me feed back ASAP OK...!
Dear Customer
Thanks for your attentions to our programs,
we glad you like it this is the other program
you been asking about, save it to Disk and
run it
Hi..friends.., check out this screen saver,
it's very cute.. ;) just save to disk or run
it from your current location..!
This file is needed by your antivirus program,
save it to your disk, and run this patch your
Antivirus security Patch will be updated soon..!
Dear Visitor,
Thanks for submiting to our site, this is the
file you ask for..:) after you run this program
you can access our site with no Password
required..!
To : Microsoft Windows User
Dear Users, after we analize the problems you
have been asking,with this file you can fix the
problem in your MS-Windows, save this file to
disk, and extract it in current Folder, and you
will be prompt for installation folder.., and
follow program instructions.
Después del envío de los mensajes, el gusano agrega esta nueva entrada al archivo
C:\Windows\Win.ini, bajo la sección [EMAIL] creada previamente por él:
WORM NAME= I-Worm.Iwing
MY STATUS= IS HERE..!
MY LINKS= http:/ /www.indovirus.net
Luego, el gusano borra los siguientes archivos previamente creados por él:
C:\%System%\ Borland_Install32_Beta080279.exe
C:\%System%\Install32_Beta12061979_Fixed.exe
C:\%System%\ Install_Wizard.exe
C:\%System%\ 3DFxText_FULL281058_DEMO.exe
C:\%System%\ Fx3d_FULL_291182_DEMO.exe
C:\%System%\ Nude_Patch_10110001_BETA.exe
C:\%System%\ Animations_PATCH_SETUP.scr
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por el virus
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
I386
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
