W32/Pops. Cambios críticos en el registro

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 558 - Año 6 - Jueves 17 de enero de 2002

W32/Pops. Cambios críticos en el registro

Nombre: W32/Pops
Tipo: Gusano de Internet
Alias: W32/Pops@MM, W32/Pops.A, W32/Pops.B, W32/Pops.a@MM, W32/Pops.b@MM
Fecha: 16/ene/01
Tamaño: 5632 bytes (variante A), 7168 bytes (variante B)
Fuente: McAfee

El gusano se puede propagar a través del correo electrónico, en mensajes como el siguiente:

Pops.A  Asunto:  cute worm
        Texto:   The attached file is a compressed picture of
                 a worm. 
        Adjunto: worm.com

Pops.B  Asunto:  Are you horny?
        Texto:   Visit www.sex.com... We want you to be sexually
                 satisfied... Included is a redirection software
                 for security... 
        Adjunto: sex.com

La ejecución del adjunto (doble clic sobre el archivo), libera al gusano.

La variante "B" del gusano modifica las siguientes entradas del registro, para ejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
*JanisRuckenbrodII = c:\windows\janis.com

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*JanisRuckenbrodII = c:\windows\janis.com

La variante "B" también modifica estas claves, de modo que cada vez que se pretende ejecutar o abrir alguna aplicación o programa de los afectados por estas claves, se ejecute el gusano (c:\windows\system\sex.com):

HKEY_CLASSES_ROOT\htmlfile\shell\open\command
"(Predeterminado)" = "c:\windows\system\sex.com"

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
"(Predeterminado)" = "c:\windows\system\sex.com"

HKEY_CLASSES_ROOT\http\shell\open\command
"(Predeterminado)" = "c:\windows\system\sex.com"

HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
"(Predeterminado)" = "c:\windows\system\sex.com"

HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command
"(Predeterminado)" = "c:\windows\system\sex.com"

HKEY_CLASSES_ROOT\mp3file\shell\open\command
"(Predeterminado)" = "c:\windows\system\sex.com"

HKEY_CLASSES_ROOT\MPEGFILE\shell\open\command
"(Predeterminado)" = "c:\windows\system\sex.com"

HKEY_CLASSES_ROOT\scrfile\shell\open\command
"(Predeterminado)" = "c:\windows\system\sex.com"

HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
"(Predeterminado)" = "c:\windows\system\sex.com"

HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command
"(Predeterminado)" = "c:\windows\system\sex.com"

Las principales diferencias entre las versiones A y B del gusano:

A - Nombre y ubicación del gusano:

c:\worm.com

B - Nombre y ubicación del gusano (todos los archivos son copias del original):

c:\windows\start menu\programs\startup\startup.com
c:\windows\janis.com
c:\betlog.bin
c:\windows\system\sex.com

Una vez infectado el sistema local, el virus se envía a otras víctimas, utilizando el correo electrónico.

Cómo borrar manualmente el virus

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee estos nombres y pulse ENTER:

worm.com, startup.com, janis.com, betlog.bin, sex.com

3. Borre los archivos que aparezcan (de acuerdo a la versión del gusano).

4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

6. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada "*JanisRuckenbrodII" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

8. Pinche sobre la carpeta "RunServices". En el panel de la derecha pinche sobre la entrada "*JanisRuckenbrodII" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

9. Busque y modifique las siguientes claves del registro, cambiando en ellas la entrada "c:\windows\system\sex.com" por la que corresponda, según esta lista:

HKEY_CLASSES_ROOT\htmlfile\shell\open\command
"(Predeterminado)" = "C:\ARCHIV~1\INTERN~1\iexplore.exe" -nohome

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command "(Predeterminado)"
"(Predeterminado)" = "C:\ARCHIV~1\INTERN~1\iexplore.exe"

HKEY_CLASSES_ROOT\http\shell\open\command "(Predeterminado)"
"(Predeterminado)" = "C:\ARCHIV~1\INTERN~1\iexplore.exe" -nohome

HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
"(Predeterminado)" = C:\WINDOWS\WScript.exe "%1" %*

HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command
"(Predeterminado)" = C:\WINDOWS\COMMAND\CScript.exe "%1" %*

HKEY_CLASSES_ROOT\mp3file\shell\open\command
"(Predeterminado)" = "C:\ARCHIV~1\WINDOW~1\wmplayer.exe" /Open "%L"

HKEY_CLASSES_ROOT\MPEGFILE\shell\open\command
"(Predeterminado)" = "C:\ARCHIV~1\WINDOW~1\wmplayer.exe" /Open "%L"

HKEY_CLASSES_ROOT\scrfile\shell\open\command
"(Predeterminado)" = "%1" /S

HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
"(Predeterminado)" = C:\WINDOWS\WScript.exe "%1" %*

HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command
"(Predeterminado)" = C:\WINDOWS\COMMAND\CScript.exe "%1" %*

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com