Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Redesi.a. ¡Microsoft no envía parches por correo!
 
VSantivirus No. 468 - Año 5 - Viernes 19 de octubre 2001

Nombre: W32/Redesi.a
Tipo: Gusano de Internet
Alias: W32/Ucon, W32/Redesi.gen@MM, W32/Redesi.a@MM
Fecha: 18/oct/01
Tamaño: 12,288 bytes

W32/Redesi.b y W32/Redesi.a o (conocidos en un primer reporte como W32/Ucon), son gusanos de envío masivo a través de Internet, escritos en Visual Basic 6.

Para enviarse, utiliza los usuarios de la libreta de direcciones del Outlook, a los que se envía en caso de haber sido ejecutado en un ambiente infectado.

El código del virus está comprimido con una utilidad compresora de ejecutables.

El mensaje en el que puede arribar, contiene algunos de los siguientes asuntos:
  • FW: Security Update by Microsoft.
  • FW: Microsoft security update.
  • FW: IT departments on state of HIGH ALERT.
  • FW: Important news from Microsoft. 
  • FW: Stop terrorists computer viruses reign.
  • FW: Terrorists release computer virus.
  • FW: Emergency response from Microsoft Corp.
  • FW: Terrorist Emergency. Latest virus can wipe disk in minutes.
  • FW: Microsoft Update. Final Release Candidate.
  • FW: New computer virus.

Y como texto del mensaje:

Just recieved this in my email
I have contacted Microsoft and they say it's real !

-----Original Message----- 
From: Microsoft Support Desk [mailto:Support@microsoft.com] 
Sent: 17 October 2001 15:21 
Subject: Security Update 

Due to the recent spate of email spread computer viruses 
Microsoft Corp has released a security patch. 
Please apply the attached file to your Windows computer 
to stop any futher spread or these malicious programs. 
Regards 
Microsoft Support 

Archivo adjunto (una de estas opciones):

Common.exe
Rede.exe
Si.exe
UserConf.exe
disk.exe

Si el usuario ejecuta uno de estos adjuntos, se muestra una ventana de error falsa:

Microsoft Windows Update
Your Windows Update has been successful.
[    OK    ]

El virus se copia luego al raiz de la unidad C: con estos nombres, todos con el atributo de oculto (+H):

c:\Common.exe 
c:\disk.exe 
c:\Rede.exe 
c:\Si.exe 
c:\UserConf.exe

Y finalmente, se envía a si mismo a todos los contactos de la libreta de direcciones.

También modifica el registro de Windows, para ejecutarse en próximos reinicios:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Rede="C:\rede.exe"

También modifica esta clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\ErrorHandling
Error=True

El 11 de noviembre se ejecuta una rutina destructiva que actúa tanto en las versiones en inglés como en español (como en inglés la fecha se escribe con el mes primero, la fecha 11/11, grabada en el código del virus, hace coincidir las dos acciones porque mes y día tienen el mismo número).

Si el 11 de noviembre se enciende una computadora infectada, se agregan instrucciones al archivo AUTOEXEC.BAT que formatearán el disco duro en un segundo reinicio de Windows:

ECHO Bide ye the Wiccan laws ye must, In perfect love and perfect trust.
format C: /autotest

Esto funcionará en algunas versiones de Windows, ya que ni XP ni Windows 2000 utilizan el archivo AUTOEXEC.BAT.

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como: 

Rede         "C:\rede.exe"

4. Pinche sobre el nombre "Rede" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
ErrorHandling

6. Pinche sobre la carpeta "ErrorHandling", y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Ver también:

VSantivirus No. 468 - 19/oct/01
Redesi, pretende hacerse pasar por mensaje de Microsoft
http://www.vsantivirus.com/19-10-01.htm

VSantivirus No. 468 - 19/oct/01
W32/Redesi.a. ¡Microsoft no envía parches por correo!
http://www.vsantivirus.com/redesi-a.htm

VSantivirus No. 467 - 18/oct/01
Virus: W32/Redesi.b (Ucon). Envío masivo a todos los contactos
http://www.vsantivirus.com/redesi-b.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS