|
VSantivirus No. 909 - Año 7 - Jueves 2 de enero de 2003
W32/Recory.A. Falsa utilidad contra el "Jdbgmgr.exe"
http://www.vsantivirus.com/recory-a.htm
Nombre: W32/Recory.A
Tipo: Gusano de Internet
Alias: WORM_RECORY.A, W32/Revocer@MM, I-Worm.Recory, Win32/Revery.A@mm,
Plataforma: Windows 32-bits
Tamaño: 19,968 bytes (UPX), 102,400 bytes
Fecha: 31/dic/02
Este gusano, escrito en Visual C++ y comprimido con la utilidad UPX, se propaga a través del correo electrónico, en mensajes con varios asuntos y archivos adjuntos seleccionados al azar de una lista propia.
También se propaga a través del IRC y del KaZaa, simulando ser una herramienta de Norton Antivirus.
Sobrescribe con su código el archivo de Windows "Jdbgmgr.exe", dejándolo inutilizable.
El gusano se envía a toda la libreta de direcciones de Windows, en mensajes con las siguientes características:
Como asunto, utiliza uno de los siguientes:
Email Security Update
Free support
From helpdesk support
Fw: Attention users
Fw: Client support
Fw: High-threat computer virus fix
Fw: Important
Fw: Read this
Fw: Serious Alert
Fwd: Attention employees
Fwd: Computer issues
Fwd: Computer Virus Alert
Fwd: Computer Virus fix Tool
Fwd: Damaged Software information
Fwd: Email virus alert
Fwd: Help on Computer issue
Fwd: Latest Computer Virus outbreak
Fwd: Latest News
Fwd: Severe virus alert
Fwd: Software alert
Fwd: Urgent inforation
High-risk computer virus removal
Important information
Microsoft news
Microsoft Support
Security update
Software patch
Software support
Technical support
Como archivo adjunto, selecciona uno de los siguientes:
Cleaner.pif
Cleanvir.pif
Cleanvirus.com
Deletevir.com
Fixtool.exe
Fixvir.exe
Fixvir.pif
Fixvirus.com
Killvir.com
Killvirus.com
Recovery.exe
Removal.exe
Remove32.com
Scan32.pif
Scanvir.pif
Virusfix.exe
Virusremove.pif
Como texto del mensaje, utiliza siempre el siguiente:
Hello readers,
I have just cleaned my computer from a highly damaging computer virus
Which is spreading rapidly through computer networks worldwide.
There is one way to check to see if your computer is infected with this virus.
Click the "Start" menu at the bottom left of your screen.
Click the "Find" or "Search" button.
Click the "Files or folders..." option.
Then once the search application starts, type "Jdbgmgr.exe"
If you have found this file, right-click on it and click the "Properties" tab.
If the Properties menu has a picture of a bear on it, your computer is infected with this virus. (Note that the non-infected file picture has a hammer and a screwdriver shown in it)
You may delete this file, but this is not the only file that the virus infects,
To remove this virus, I have included a virus removal tool in the attachments "" that will scan all system files and remove any infectious code from them.
This virus removal tool is very easy to use. If you have any trouble with this tool, read the help menu that the removal tool supplies.
If your computer is infected with this virus, It is strongly recommended that you send this removal tool to as many people as you can to help remove the traces of this virus worldwide.
Cuando el adjunto se ejecuta, el gusano se copia a si mismo en las carpetas de Windows y del sistema con los siguientes nombres:
C:\Windows\Autotest.com
C:\Windows\Compile32.pif
C:\Windows\Jdbgmgr.exe
C:\Windows\Security.pif
C:\Windows\Startwin.com
C:\Windows\System\Autoexec32.bat
C:\Windows\System\Cleanvir.pif
C:\Windows\System\Jdbgmgr.exe
C:\Windows\System\Msdos32.pif
C:\Windows\TEMP\Jdbgmgr.exe
C:\Windows\Uninstall32.pif
C:\Windows\Winboot32.com
C:\Windows\Windows Startup.pif
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
El archivo "Jdbgmgr.exe" de Windows es sobrescrito por la copia del gusano.
También se copia en la carpeta de inicio de Windows, ejecutándose cada vez que Windows se reinicia:
C:\WINDOWS\Menú Inicio\Programas\Inicio\Systray.pif
También para ejecutarse cada vez que Windows se reinicia, crea la siguiente clave en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Msdos32 = C:\Windows\System\msdos32.pif
También crea la siguiente entrada:
HKEY_CURRENT_USER\Software\Zed/[rRlf]
(Predeterminado) = "W32/Recovery family worm by Zed/[rRlf]"
Finalmente, el gusano se copia en las carpetas compartidas de las utilidades ICQ y KaZaa, infectando a los usuarios que descarguen y ejecuten estos archivos:
Computer Virus Generator.pif
Dancing Girls ScreenSaver.scr
Erotic Poetry.pif
FixTool.exe
How to hack websites.pif
How to hack www.google.com
How to make a virus.pif
KaZaA Bug Fix.exe
KaZaA Download Booster.exe
Lord Of The Rings 2 Fast Downloader.pif
Microsoft Product Serial List.pif
Nature ScreenSaver.scr
NFS Car Builder.pif
Norton AntiVirus Quick Downloader - www.symantec.com
Readme.pif
Red Alert 2 Money Cheat.pif
The Sims patch.pif
Type-and-talk.pif
User Information.pif
Virtual Sex ScreenSaver.scr
WarCraft 2 - Advanced Level Builder.com
Windows Logon Password Cracker.pif
Las propiedades del archivo del gusano, hace mención al conocido fabricante del antivirus Norton, Symantec.
Al sobrescribir el archivo "Jdbgmgr.exe", intenta aprovecharse de la fama del conocido HOAX que menciona dicho archivo como un virus (en forma original, no lo es, es un archivo legítimo de Windows).
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los archivos que se mencionan en la descripción y bórrelos.
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Msdos32
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Zed/[rRlf]
5. Pinche en la carpeta "Zed/[rRlf]" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Relacionados:
¿Está JDBGMGR.EXE en su computadora?. ¡NO LO BORRE!
http://www.vsantivirus.com/hoax-jdbgmgr.htm
Actualizaciones: 2/ene/03
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|