VSantivirus No. 651 - Año 6 - Viernes 19 de abril de 2002
W32/Orkiz.A (Trilisa). El gusano de "Operación Triunfo"
http://www.vsantivirus.com/orkiz-a.htm
Nombre: W32/Orkiz.A (Trilisa)
Tipo: Gusano de Internet
Alias: Win32.Trilisa, W32/Trilisa@m, W32/Trilisa.vbs, WORM_ORKIZ.A, I-worm.orkiz, ORKIZ.A, W32/Musicalnightmare, I-Worm/Orkiz, W32/Zacker.2, VBS/Jord.a.,
VBS_TRILISSA.A, TRILISSA, I-worm.trilissa.a
Fecha: 17/abr/02
Tamaño: 139,264 bytes
Este gusano de origen español, se propaga reenviándose a toda la libreta de direcciones del Outlook.
Se aprovecha de la popularidad de un exitoso programa de televisión (en España y otros países que lo retransmiten, como Uruguay por ejemplo), ya que hace referencia a un supuesto salvador de pantalla de dicho show.
El gusano crea y luego ejecuta, varios scripts de Visual Basic (VBS), los que contienen las instrucciones para enviarse a través del correo electrónico, utilizando las facilidades MAPI (Messaging Application Programming Interface).
Posee una rutina que renombra todos los archivos con extensiones
.EXE o .SCR del directorio actual, y copia al propio gusano con ese nombre allí. La tarea de limpieza se torna sumamente engorrosa debido a esto, como veremos.
También borra algunos archivos, además de los programas Regedit
y Regedb32.
Cuando el virus se ejecuta en una computadora, se copia a si mismo y crea nuevos archivos con estos nombres:
C:\System32 - Veronica la mejor!!.exe
C:\Windows\System32.exe
A:\Polvazo.scr
C:\OperacionTriunfo.scr
Crea los siguientes archivos en Visual Basic script (VBS):
C:\Command.com.vbs
C:\eurovision.vbs
C:\x.vbs
Descripción de Command.com.vbs
Este script se encarga del envío masivo a través del correo electrónico del gusano, adjunto a este mensaje:
Asunto: Mira esto, jajaja, te vas a reir!!
Texto: Jajajaja!!! Es la ostia!! Miralo!!
Datos adjuntos: OperacionTriunfo.scr
Descripción de X.vbs
X.VBS muestra los siguientes mensajes:
I-Worm Elisabeth by Zirkov
HECHO EN ADMIRACION A GIGABYTE
RECUERDOS A TODAS MIS COMPAÑERAS DE MERYLAND CURSO 99-01
HECHO EN ESPAÑA - ABRIL 2002
Descripción de Eurovision.vbs
Este script, intenta borrar archivos con las siguientes extensiones:
.zip
.arj
.rar
.ace
.lhz
.doc
.log
.js
.rtf
.pdf
.asm
.wp
.txt
.xls
.mdb
.ppt
.avi
.mpg
.mpeg
.asf
.rm
.mov
.mp3
.mp2
.mp
.mod
.mid
.wav
.jpg
.jpeg
.gif
.bmp
.smc
.gb
.gbc
.gba
Luego, el gusano borra los archivos con nombre
Regedit.* o Regedb32.*
También renombra todos los archivos en el directorio \Windows que tengan extensión
.exe o .scr y les asigna una extensión .ex_. Se replica a sí mismo con el nombre original de todos esos archivos.
Estos son los cambios y agregados que el gusano hace en el registro de Windows:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = "c:\system32 - Veronica la mejor!!.exe "%1" %*"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = "c:\eurovision.vbs"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
(Predeterminado) = "c:\x.vbs"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = "c:\Command.com.vbs"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = "c:\system32 - Veronica la mejor!!!.exe"
HKLM\Software\CLASSES\exefile\shell\open\command\Default
(Predeterminado) = "c:\system32 - Veronica la mejor!!.exe "%1" %*"
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = "c:\eurovision.vbs"
Cómo limpiar el virus en forma manual
Para borrar este gusano, ejecute uno o más antivirus al día y borre todos los archivos infectados.
El procedimiento de limpieza, puede ser algo engorroso (se deben renombrar todos los archivos
*.EX_ a *.EXE en la carpeta C:\Windows), pero la opción es reinstalar los programas necesarios, incluso Windows.
Para limpiar manualmente este gusano de un equipo infectado, siga este procedimiento:
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER (si REGEDIT fue borrado, utilice la herramienta SFC para recuperar este archivo. Vea "Cómo Recuperar archivos con SFC en Windows 98 y Me"
http://www.vsantivirus.com/faq-sfc.htm)
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
exefile
shell
open
command
3. Pinche en "Command" y en el panel de la derecha,
pinche en la entrada
"(Predeterminado)". En "Información del
valor" deje solamente lo siguiente (comillas, por ciento, número uno, comillas, espacio, por ciento, asterisco):
"%1" %*
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run
5. Pinche en "Run" y en el panel de la derecha, borre la entrada
"(Predeterminado)"
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunOnce
7. Pinche en "RunOnce" y en el panel de la derecha, borre la entrada
"(Predeterminado)"
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
9. Pinche en "Run" y en el panel de la derecha, borre la entrada
"(Predeterminado)"
10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
11. Pinche en "RunServices" y en el panel de la derecha, borre la entrada
"(Predeterminado)"
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
CLASSES
exefile
shell
open
command
13. Pinche en "Command" y en el panel de la derecha, cambie el contenido de
"(Predeterminado)" por lo siguiente (comillas, porcentaje, uno, comillas, espacio, porcentaje,
asterisco):
"%1" %*
14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
.DEFAULT
Software
Microsoft
Windows
CurrentVersion
Run
15. Pinche en "Run" y en el panel de la derecha, borre la entrada
"(Predeterminado)"
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
17. Apague su computadora (Inicio, Apagar el sistema, Apagar el sistema).
18. Coloque un disquete de inicio previamente creado en su PC (vea "Cómo crear y usar un disquete de Inicio"
http://www.vsantivirus.com/faq-disquete.htm)
19. En la línea de comandos (A:\>_ teclee las siguientes instrucciones pulsando Enter al final de cada línea). Si Windows no está en la unidad
C:\ cambie los datos a la referencia adecuada:
c:
del sys*.exe
del *.vbs
del *.scr
del windows\system32.exe
Si está en Windows 9x o ME teclee lo siguiente:
cd windows
Si está en NT/2K o XP, teclee lo siguiente:
cd winnt
Luego, en ambos casos:
del *.exe
ren *.ex_ *.exe
Apague y reinicie su computadora, retirando antes el disquete de la unidad A: (vea los cambios recomendados en el BIOS Setup según se explica en "Cómo crear y usar un disquete de Inicio"
http://www.vsantivirus.com/faq-disquete.htm).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Referencias:
VSantivirus No. 672 - 10/may/02
W32/Trilisa.B. Simula ser una actualización del AVP
http://www.vsantivirus.com/trilisa-b.htm
Modificaciones:
24/jun/02 - Alias: VBS_TRILISSA.A, TRILISSA, I-worm.trilissa.a
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
