Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Petik.M. Intenta eliminar a conocidos antivirus
 
VSantivirus No. 631 - Año 6 - Sábado 30 de marzo de 2002

 W32/Petik.M. Intenta eliminar a conocidos antivirus
http://www.vsantivirus.com/petik-m.htm

Nombre: W32/Petik.M
Tipo: Gusano de Internet
Alias: Worm/Petik, WORM_PETIK.M, PETIK.M
Plataforma: Windows 9x/Me
Fecha: 29/mar/02
Tamaño: 5,120 bytes comprimido con UPX, 8,192 sin comprimir

Cuando el gusano es ejecutado, el mismo se copia en la carpeta System de Windows:

C:\Windows\System\EBASE64.EXE

Luego modifica el registro para ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Encode Base64 = "C:\Windows\System\eBase64.exe"

Luego busca e intenta eliminar los siguientes ejecutables, pertenecientes a un software antivirus de la máquina infectada:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSHED.EXE
VSHWIN32.EXE
ZONEALARM.EXE

El gusano genera un archivo en Visual Basic Script (.VBS), que luego borra, y que contiene las instrucciones para utilizar el Outlook para enviar mensajes infectados con una copia del gusano, a todas los contactos de la lista de la libreta de direcciones de Windows.

El mensaje enviado tiene estas características:

Asunto: Re: Answer
Texto del mensaje: Here for you…
Datos adjuntos: Funny_game.exe

El código VBS crea un script para el cliente de chat mIRC, llamado TOGETHER.INI, el cuál contiene las instrucciones para propagarse a los participantes de los canales de chat que frecuente la víctima.

El código del gusano contiene el siguiente texto:

I-Worm.Together Coded by Petik - 2002

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por W32/Petik.M

4. Con el Explorador de Windows, borre el siguiente archivo (si aparece):

C:\Windows\System\EBASE64.EXE

5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Encode Base64 = "C:\Windows\System\eBase64.exe"

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 623 - 22/mar/02
W32/Petik. Archivos infectados Litelo.exe y Flash32.exe
http://www.vsantivirus.com/petik.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS