Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Porkis.A (Atram, Borzella). PORKIS, PIPPO o BAR.EXE
 
VSantivirus No. 617 - Año 6 - Sábado 16 de marzo de 2002
VSantivirus No. 621 - Año 6 - Miércoles 20 de marzo de 2002

 W32/Porkis.A (Atram, Borzella). PORKIS, PIPPO o BAR.EXE
http://www.vsantivirus.com/porkis-a.htm

Nombre: W32/Porkis.A (Atram, Borzella)
Tipo: Gusano de Internet
Alias: WORM_PORKIS.A, PORKIS.A, W32/Atram@mm, W32/Atram, Win32.Borzella, I-Worm.Borzella, Win32/Borzella.Worm
Plataforma: Windows
Tamaño: 49,664 bytes
Fecha: 15/mar/02
Modificación: 19/mar/02

Con un adjunto llamado PORKIS.EXE, PIPPO.EXE o BAR.EXE, este gusano de Internet se propaga vía Microsoft Outlook, a todos los contactos de la libreta de direcciones de Windows (Windows Address Book, WAB).

Cuando se ejecuta, el gusano despliega varias ventanas de mensajes en italiano, con los siguientes títulos y contenidos:

Quiz
 Cosa dice un vettore ad un altro?
[    OK    ]

Risposta
 ...Scusa, hau un momento?...
 [    OK    ]

Barzelletta
 Sai chi é il fratello di Giorgio Armani?
 [    OK    ]

Risposta
 ...Emporio!
 [    OK    ]

Quiz
 Ti trovi al volante della tua auto e circoli ad una velocitá costante.
Alla tua sinistra c'é un precipizio.
Alla tua destra un camion dei pompieri che viaggia esattamente alla tua stessa velocitá.
Davanti a te cavalca un maiale visibilmente piú grande della tua macchina.
Dietro di te ti segue un elicottero che vola raso terra.
Gli ultimi due, anch'essi alla tua stessa velocitá.
Che fai per fermarti?
 [    OK    ]

Risposta
 ...scendi dalla giostra,imbecille!!!
 [    OK    ]

Cavolata finale
 Gesú ai discepoli: 'In veritá, in veritá vi dico: y=x^2-4x+7'.
I discepoli commentano un po'fra diloro, poi Piretro si avvicina mestamente a Gesú, dicendogli: 'Maestro, perdonaci, ma non comprendiamo il tuo insegnamento...'
E Gesú, arrabbiato: 'Sciocchi, é una parabola!'
 [    OK    ]

El día 6 de setiembre, despliega el siguiente mensaje:

Accadde il 6 settembre
 Attenzione signori!!!
Oggi non e'mica un giorno fesso come gli altri: spegnette il computer e escite, godetevi la vita, abbracciate e baciate la persona a voi piu' cara.
Viva l'amore

Luego, se copia a si mismo con el nombre de Dllmgr.exe en la carpeta /%windows%, ej.:

C:\Windows\dllmgr.exe

También agrega lo siguiente al registro, a los efectos de autoejecutarse en próximos reinicios del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Dll Manager = C:\Windows\dllmgr.exe

Utiliza su propia máquina SMTP para enviarse, y obtiene la dirección del SMTP por defecto de la máquina infectada, de la siguiente clave:

HKEY_CURRENT_USER\Software\Microsoft
\Internet Account Manager\Accounts\00000000

El valor "00000000" varía, y se refiere al identificador de la cuenta predeterminada cuando se tienen varias.

Para obtener las direcciones a las cuáles enviarse, encuentra la ubicación de la libreta de direcciones en esta rama del registro:

HKEY_CURRENT_USER\Software\Microsoft
\WAB\WAB4\Wab File Name 

El mensaje enviado posee el siguiente formato:

Asuntos (uno de estos):

- Divertimento assicurato..

- Leggete urgentemente questa e-mail!! (se avete tempo da perdere)

- Storielle..

Texto: (uno de estos):

- dai un'occhiata all'allegato e ti farai due risate ;-)

- devi assolutamente vedere il file che ti ho allegato.

- guarda l'allegato... ti potrebbe interessare.

Datos adjuntos: (uno de estos):

- PORKIS.EXE

- PIPPO.EXE

- BAR.EXE

El código del gusano contiene el siguiente texto:

Don’tWorry:It’sNotDangerous.IloveTheWorldAnd
ThePeople.Bye.MARTA ViRii by 4nt4R35 (March 2002)

Para eliminar manualmente este gusano de un sistema infectado:

1. Desde Inicio, Ejecutar escriba REGEDIT y pulse Enter

2. Busque la siguiente rama del registro:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche sobre "Run" y en el panel de la derecha localice la siguiente entrada:

Dll Manager = C:\Windows\dllmgr.exe

4. Ejecute un antivirus actualizado, y elimine todos los archivos identificados como W32/Porkis.A, W32/Atram o W32/Borzella.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS