|
VSantivirus No. 915 - Año 7 - Miércoles 8 de enero de 2003
W32/Recory.B. Se propaga vía e-mail, IRC y KaZaa
http://www.vsantivirus.com/recory-b.htm
Nombre: W32/Recory.B
Tipo: Gusano de Internet
Alias: WORM_RECORY.B, W32/Revocer.b@MM, I-Worm.Recory.b, Win32/Revery.B@mm
Plataforma: Windows 32-bits
Tamaño: 17,920 bytes (UPX), 77,824 bytes
Fecha: 6/ene/03
Este gusano, escrito en Visual C++ y comprimido con la utilidad UPX, es una variante del W32/Recory.A, y se propaga a través del correo electrónico, en mensajes con varios asuntos y archivos adjuntos seleccionados al azar de una lista propia, y también a través del mIRC, pIRCh y KaZaa.
Sobrescribe con su código el archivo de Windows "Jdbgmgr.exe", dejándolo inutilizable.
El gusano se envía a toda la libreta de direcciones de Windows, en mensajes con las siguientes características:
Como asunto, utiliza uno de los siguientes (en ocasiones precedido por "Fw:" o "Fwd:")
About a severe computer virus
Alert
Attention employees
Computer virus outbreak
Computer virus removal
Help with removal
Important
Important Information
Knowledge Database alert
Microsoft support
Readme
Removal tool
Severe alert
Severe computer virus alert
Update your virus scanners
Urgent news
Virus alert
Virus removal tool
Virus warning
Warning
Como archivo adjunto, selecciona uno de los siguientes nombres, con extensión ".exe", ".com" o ".pif":
AntiVir
AntiVirus
CleanComp
CleanComputer
Cleaner
CleanerTool
CleanFiles
CleanPC
CleanSys
CleanSystem
CleanTool
CleanVir
CleanVirus
FileClean
FileCleaner
FileFix
FileRepair
FileRepairer
FileScanner
FixComp
FixComputer
FixFiles
FixPC
FixSys
FixSystem
FixTool
FixVir
FixVirus
KillVir
KillVirus
Recovery
RemovalTool
RemoveVir
RemoveVirus
Repair
RepairComp
RepairComputer
RepairFiles
RepairPC
RepairScan
RepairSys
RepairSystem
RepairTool
RepairVir
RepairVirus
RepairWizard
ScanFiles
Scanner
ScanVir
ScanVirus
SysClean
SysFix
SysRepair
SystemClean
SystemFix
SystemRepair
VirFix
VirRepair
VirusClean
VirusCleaner
VirusFix
VirusRemoval
VirusRepair
WinProtect
Como texto del mensaje, utiliza siempre el siguiente:
=============================================
Hello readers,
I have just cleaned my computer from a highly damaging computer virus Which is spreading rapidly through computer networks worldwide.
There is one way to check to see if your computer is infected with this virus.
Click the "Start" menu at the bottom left of your screen.
Click the "Find" or "Search" button.
Click the "Files or folders..." option.
Then once the search application starts, type "Jdbgmgr.exe"
If you have found this file, right-click on it and click the "Properties" tab. If the Properties menu has a picture of a bear on it, your computer is infected with this virus. (Note that the non-infected file picture has a hammer and a screwdriver shown in it) You may delete this file, but this is not the only file that the virus infects, To remove this virus, I have included a virus removal tool in the attachments [nombre del adjunto] that will scan all system files and remove any infectious code from them. This virus removal tool is very easy to use. If you have any trouble with this tool, read the help menu that the removal tool supplies.
=============================================
Cuando el adjunto se ejecuta, el gusano se copia a si mismo en las carpetas de Windows, del sistema y temporales, con los siguientes nombres:
C:\Windows\Charmap.pif
C:\Windows\JAVA\JavaStart.com
C:\Windows\JAVA\Javatemp.bat
C:\Windows\JAVA\WinJava32.pif
C:\Windows\Jdbgmgr.exe
C:\Windows\Msupdater32.pif
C:\Windows\Regedit32.com
C:\Windows\System\CheckThis.pif
C:\Windows\System\FileCleaner.exe
C:\Windows\System\Filecmd32.com
C:\Windows\System\Msjava.pif
C:\Windows\System\Msjpeg32.pif
C:\Windows\System\Mswin32.pif
C:\Windows\System\MswinRegFiles32.com
C:\Windows\System\Regfiles.bat
C:\Windows\System\Runsys32.bat
C:\Windows\System\Winbatch.bat
C:\Windows\System\Winocx32.pif
C:\Windows\TEMP\Jdbgmgr.exe
C:\Windows\TEMP\MsTfnfe32.pif
C:\Windows\TempFiles.pif
C:\Windows\Winhlp32.com
C:\Windows\WinStart32.pif
C:\Windows\WinStartup.pif
C:\Windows\Winupd32.com
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
El archivo "Jdbgmgr.exe" de Windows es sobrescrito por la copia del gusano.
También se copia en la carpeta de inicio de Windows, ejecutándose luego el gusano cada vez que Windows se reinicia:
C:\WINDOWS\Menú Inicio\Programas\Inicio\LoadWin.pif
También crea la siguiente entrada:
HKEY_CURRENT_USER\Software\Zed/[rRlf]\Recovery 1.1
(Predeterminado) = "W32/Recovery family worm by Zed/[rRlf]"
Finalmente, el gusano se copia en las carpetas compartidas de las utilidades mIRC, pIRCh y KaZaa, infectando a los usuarios que compartan los mismos canales de IRC, o quienes descarguen y ejecuten estos archivos:
007 - Die Another Day (Rocket Downloader).pif
Britney Spears Wallpaper.pif
Harry Potter and the Chamber of Secrets (Fast-Downloader).pif
Harry Potter and the Philosopher's Stone (Movie-Downloader).pif
The Lord of the Rings - The Two Towers (Fast-Downloader).pif
El gusano contiene en su código el siguiente texto:
Hmm... Is this computer in need of an
urgent recovery? I think so!
W32/Recovery family worm by Zed/[rRlf]
Al sobrescribir el archivo "Jdbgmgr.exe", intenta aprovecharse de la fama del conocido HOAX que menciona dicho archivo como un virus (en forma original, no lo es, es un archivo legítimo de Windows).
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los archivos que se mencionan en la descripción y bórrelos.
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Borrar "Loadwin.pif"
Para impedir se ejecute el gusano al iniciarse Windows, pinche en Inicio, Programas, Inicio. Pulse con el botón derecho sobre la entrada
"Loadwin" y seleccione "Eliminar".
También puede hacer una búsqueda (Inicio, Buscar, Archivos y carpetas) y borrar el archivo
"Loadwin.pif".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Zed/[rRlf]
3. Pinche en la carpeta "Zed/[rRlf]" y bórrela.
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|