|
VSantivirus No. 648 - Año 6 - Martes 16 de abril de 2002
W32/Pimaf. Datos adjuntos: MyNewPics.PIF (un falso PIF)
http://www.vsantivirus.com/pimaf.htm
Nombre: W32/Pimaf
Tipo: Gusano de Internet
Alias: W32/Pimaf@MM
Tamaño: 52,736 bytes
Plataforma: Windows
Fecha: 10/abr/02
Este gusano, escrito en Microsoft Visual C++, incluye en su código una librería con funciones SMTP, las que utiliza para su propio servidor SMTP de envío de correo.
Cuando se ejecuta por primera vez en la computadora infectada, el gusano examina la existencia o no de un determinado archivo de texto en el raíz de
C:\Windows. Si no lo encuentra, se muestra el siguiente mensaje:
Image Viewer
The image data is corrupt, and the image cannot be displayed. You may want to obtain a fresh copy of the image and try again.
[ OK ]
El gusano extrae direcciones de correo de la carpeta de
Elementos enviados del Outlook Express. En pruebas realizadas, el gusano parece fallar al intentar enviarse en algunas ocasiones.
El mensaje que intenta enviar, es el siguiente:
Datos adjuntos: MyNewPics.PIF (52,736 bytes)
Texto:
Hi I finally got new pics of myself scanned in and put
them in this Picture Image File (PIF) Tell me what you
think :-)
El gusano intenta engañar al usuario, haciéndolo creer que es un archivo con imágenes, cuando en realidad es un ejecutable de Windows normal.
El gusano se copia en la carpeta \Windows como MYNEWPICS.PIF (52,736 bytes), y luego modifica el registro para asegurarse su ejecución automática en próximos reinicios del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
* = C:\WINDOWS\MyNewPics.PIF
En forma adicional, la librería con funciones SMTP/POP3 que incorpora el gusano, se copia en la carpeta
Windows\System, con el siguiente nombre: SEE32.DLL.
El gusano utiliza sus propias rutinas SMTP para enviarse por correo, extrayendo las direcciones de los mensajes presentes en la carpeta de Elementos enviados.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como W32/Pimaf
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre cualquier entrada que tenga como nombre de archivo el siguiente:
C:\WINDOWS\MyNewPics.PIF
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
9. Se sugiere volver a ejecutar uno o más antivirus actualizado, o utilizar F-Prot ejecutándolo desde un disquete, como se explica aquí:
VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete (actualizado)
http://www.vsantivirus.com/fprot-disq.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|