Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Plex. Sin asunto ni cuerpo, solo un adjunto
 
VSantivirus No. 802 - Año 6 - Miércoles 18 setiembre de 2002

W32/Plex. Sin asunto ni cuerpo, solo un adjunto
http://www.vsantivirus.com/plex.htm

Nombre: W32/Plex
Tipo: Gusano de Internet
Alias: Win32.Plexis, W32/Plex@MM, Win32/Plexar.Worm, I-Worm.Plexis
Plataforma: Windows 32-bits
Fecha: 17/set/02

Este gusano que se propaga a través del correo electrónico, utiliza las facilidades del Microsoft Outlook y Outlook Express para ello.

El gusano también infecta archivos en formato Win32 PE (Portable Executable), y afecta las aplicaciones Word y Excel del paquete Office de Microsoft.

Cuando un programa infectado se ejecuta, el virus infecta otros ejecutables en la carpeta actual y todos los directorios anteriores.

Cuando se ejecuta el archivo original creado en la máquina infectada luego de recibirlo vía e-mail, se despliega una ventana de error, con el siguiente mensaje:

Plexar.1214
Plexar (c) 2001 LiteSys -- Activado
[   OK   ]

Luego, el virus examina el directorio de Windows en busca del siguiente archivo:

raxelp.vbs

Si dicho archivo no es encontrado, el gusano se copia a si mismo en la misma carpeta, con uno de los siguientes nombres:

C:\Windows\Sex.jpg                    .exe
C:\Windows\Porno.gif                    .exe
C:\Windows\Free_XXX.jpg                    .exe
C:\Windows\Great_Music.mp3                    .exe
C:\Windows\Check_This.jpg                    .exe
C:\Windows\Cool_Pics.gif                    .exe
C:\Windows\Love_Story.html                    .exe
C:\Windows\Sexy_Screensaver.scr
C:\Windows\Free_Love_Screensaver.scr
C:\Windows\Eat_My_Shorts.scr

Note la doble extensión (.JPG y .EXE) en alguno de los nombres elegidos, separadas además por una cierta cantidad de espacios. Esto suele engañar la visualización, haciendo creer a la víctima, que se trata de una inocente imagen, por ejemplo. Además, en una configuración por defecto de Windows, las extensiones de los archivos más utilizados (.EXE por ejemplo), no son visibles por defecto.

El gusano crea también un archivo en Visual Basic Script:

C:\Windows\raxelp.vbs

Este script contiene el código para enviar el gusano a toda la lista de direcciones de la libreta de Windows, en mensajes como el siguiente:

Asunto: [vacío]
Texto: [vacío]
Datos adjuntos [uno de los siguientes]:

Sex.jpg                    .exe
Porno.gif                    .exe
Free_XXX.jpg                    .exe
Great_Music.mp3                    .exe
Check_This.jpg                    .exe
Cool_Pics.gif                    .exe
Love_Story.html                    .exe
Sexy_Screensaver.scr
Free_Love_Screensaver.scr
Eat_My_Shorts.scr

El gusano también crea el siguiente archivo ejecutable:

C:\cocofrio.com

Luego modifica el archivo c:\autoexec.bat para ejecutar dicho archivo en cada reinicio de la computadora.

Si el gusano se ejecuta en cualquiera de las siguientes fechas:

4 de enero
5 de febrero
7 de marzo
8 de agosto
12 de setiembre
16 de octubre
20 de noviembre
24 de diciembre

Se muestra el siguiente texto en pantalla:


                     ----< PLEXAR >----

        ...mas entretenido que un paseo en tractor...
...mas rapido que un plan adeco de embellecimiento urbano...
        ...mas limpio que la conciencia del gocho...
         ...mas animado que una paila de cotufas...

        ...y mas bolivariano que el soberano mesmo...


          (c) 2001 LiteSys // Hecho en Venezuela.
  Hasta pronto mi comandante...

El gusano también crea el siguiente archivo, que a pesar de su extensión, contiene código VBA:

C:\raxelp.$$$

Finalmente también crea otro script de Visual Basic en el directorio de Windows:

C:\Windows\plxwrd.vbs

Modifica además el registro, para asegurarse su ejecución en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Plexar = C:\Windows\plxwrd.vbs

Este script, inserta un código de macros (obtenido de "raxelp.$$$") dentro de las plantillas por defecto de Word y Excel. Cuando se ejecuta este código (al abrirse un documento nuevo), el macro libera una copia binaria del gusano dentro de la carpeta Windows y luego lo ejecuta:

C:\Windows\raxelp.exe


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Plexar

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\cocofrio.com
C:\raxelp.$$$
C:\Windows\raxelp.vbs
C:\Windows\raxelp.exe
C:\Windows\plxwrd.vbs
C:\Windows\Sex.jpg                    .exe
C:\Windows\Porno.gif                    .exe
C:\Windows\Free_XXX.jpg                    .exe
C:\Windows\Great_Music.mp3                    .exe
C:\Windows\Check_This.jpg                    .exe
C:\Windows\Cool_Pics.gif                    .exe
C:\Windows\Love_Story.html                    .exe
C:\Windows\Sexy_Screensaver.scr
C:\Windows\Free_Love_Screensaver.scr
C:\Windows\Eat_My_Shorts.scr

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares al descripto antes.


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre todas las líneas que mencionen a "C:\cocofrio.com"

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. 

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS