VSantivirus No. 701 - Año 6 - Sábado 8 de junio de 2002
W32/Shermnar. Se propaga a través de la red del Kazaa
http://www.vsantivirus.com/shermnar.htm
Nombre: W32/Shermnar
Tipo: Gusano de Internet
Alias: W32.Shermnar.Worm, Worm/P2P.Shermnar
Fecha: 5/jun/02
Tamaño: 65,536 bytes
Plataformas: Windows9x, Me, NT, 2000 y XP
Fuente: Symantec
Este gusano intenta propagarse a través de la red peer-to-peer de Kazaa (utilidad que permite el intercambio de archivos entre computadoras conectadas a la misma red). Crea múltiples copias de si mismo, con una gran variedad de nombres. Uno de esos nombres puede ser:
NortonAntivirus2002UpdateInstaler.exe
Si el usuario descarga y ejecuta un archivo infectado el gusano se activará, realizando las siguientes acciones:
1. Crear la carpeta C:\Windows\Fonts\^-^
2. Crea múltiples copias de si mismo en esa carpeta, con varios nombres, como los que se muestran en esta lista entre otros:
Baldur's Gate-Full Downloader.exe
3.exe
4.exe
ScaryMovie2-FullDownloader.exe
StarWars2 - CloneAttack - FullDownloader.exe
Spiderman-FullDownloader.exe
Shakira.exe
Gladiator-FullDownloader.exe
2.exe
AikaQuest3Hentai-FullDownloader.exe
MoviezChannelsInstaler.exe
Zidane-ScreenInstaler.exe
LordOfTheRings-FullDownloader.exe
SIMS-FullDownloader.exe
1.exe
5.exe
StriderHyriu.exe
Rebeka-FullInstaler.exe
BinLadenF**ksss!!-FullGame.exe
666.exe
También crea una serie de nombres con el prefijo
"Minerva" seguido de los dígitos 3 al 34.
Luego agrega este valor al registro de Windows:
HKEY_Current_User\Software\Kazaa\Transfer
DlDir1 = C:\WINDOWS\fonts\^-^
Finalmente, el gusano cambia la página de inicio del Internet Explorer por la siguiente:
http://shermnar.web.ctonet.it/NortonAntivirus2002UpdateInstaler.exe
e intenta abrir dicho sitio.
Reparación manual
Para reparar manualmente la infección provocada por este gusano proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por el virus
4. Con el Explorador de Windows, borre la carpeta "^-^":
C:\WINDOWS\fonts\^-^
5. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_Current_User
\Software
\Kazaa
\Transfer
8. Pinche en la carpeta "Transfer" y en el panel de la derecha busque y borre la siguiente entrada:
DlDir1 C:\WINDOWS\fonts\^-^
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Modificaciones:
22/jun/02 - Alias Worm/P2P.Shermnar
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
