Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Psycho (Kitro). "La Droga Virtual" en psycho.scr
 
VSantivirus No. 592 - Año 6 - Martes 19 de febrero de 2002

W32/Psycho (Kitro). "La Droga Virtual" en psycho.scr
http://www.vsantivirus.com/psycho-kitro.htm

Nombre: W32/Psycho (Kitro)
Tipo: Gusano de Internet
Alias: W32/Psycho.A, Win32.Kitro.A@mm, I-Worm.Kitro
Tamaño: 220,160 bytes (comprimido con UPX), 500 Kb aprox. (sin comprimir)
Fecha: 18/feb/02
Plataforma: Windows
Fuente: VirusAttack!, BitDefender

Este gusano se propaga a través del correo electrónico, en un mensaje con el asunto: "La Droga Virtual". Utiliza como destinatarios la lista de contactos del servicio .NET Messenger.

Programado en Delphi, y comprimido con la utilidad UPX (220Kb), su tamaño real es de casi 500 Kb.

Estas son las características del mensaje usado por el gusano (se respetan los errores ortográficos):

De: Droga Virtual<rockers@hotmail.com>
Para: PSYCHOADICTOS@hotmail.co,m,PSYCHOADICTOS@hotmail.co,m
Asunto: La Droga Virtual

Hey, Droga Virtual... Pues con este Protector de pantalla
podras alucinar como si estubieses bajo el LSD ademas del
Peyote.

Ya no hace falta gastar dinero para ver colores e imagenes
de otra dimension.

Vamos unete a los psicoticos de la red, pero Atencion, no
dejes la mariguana!!!.

Datos adjuntos: psycho.scr (291k)

Si el usuario intenta ejecutar este supuesto protector de pantalla, entonces se ejecuta el propio gusano, cuyo código reside en el archivo PSYCHO.SCR

Al iniciarse, el gusano crea o sobrescribe estos archivos en la máquina infectada:

c:\system32.exe
C:\Archivos de programa\psycho.scr
kiltro.dat
c:\windat.vxd
c:\windat.dll

Los dos primeros son copia del propio gusano.

El archivo KILTRO.DAT contiene todos los contactos de .NET Messenger Service, a los que el gusano se enviará.

También modificará el registro para ejecutarse automáticamente en cada reinicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msn = c:\system32.exe

Por sus características, algunas partes del gusano solo funcionarán correctamente en las versiones en español de Windows.

Una vez en memoria, el gusano se registra a si mismo como un servicio, utilizando para ello una función específica de las APIs de Windows 95, 98 y Me.

Durante los meses de abril y diciembre, luego de enviarse el virus mostrará un mensaje con el titulo "KILTRO * MSNWorm" y uno de los siguientes textos seleccionados al azar o en forma rotativa:

Programado en Santiago de Chile por 4D2

¡¡¡VIVA SUDAMERICA!!!, ¡¡¡VIVA SIN YANKIS INVASORES!!!

GUERRA AL SIONISMO

CRACKING, MARIGUANA & PsichoBilly

N SALUO PARA MI TIA MONICA (QEPD) Y MIS AMIGOS DE SIEMPRE : EL JAQUE (QEPD), EL VENA, EL SOTO (QUE HACE EN ESPAÑA EL CAURO!!!), y pa mi compaire ALSINO',0

SALUOS PAL ZayDun & Tuvoalvaci0 y pa mi amiga ANITA de TALCA

Cómo borrar manualmente el gusano

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Con el Explorador de Windows, busque y borre estos archivos:

c:\system32.exe
C:\Archivos de programa\psycho.scr
c:\windat.vxd
c:\windat.dll

2. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run

4. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada "msn", "c:\system32.exe" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS