Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Stopin. Tardío mensaje por la paz del mundo
 
VSantivirus No. 574 - Año 6 - Viernes 1o de febrero de 2002

W32/Stopin. Tardío mensaje por la paz del mundo
http://www.vsantivirus.com/stopin.htm

Nombre: W32/Stopin
Tipo: Gusano de Internet
Alias: I-Worm.Stopin
Fecha: 29/ene/02
Tamaño: 30 Kb (comprimido con UPX), 85 Kb (sin comprimir)
Fuente: Kaspersky

Este gusano se propaga a través de un mensaje con el asunto "Secret for you..." con un adjunto de unos 30 Kb de nombre "My Work.exe".

El gusano, un ejecutable en formato PE de Windows, comprimido con la utilidad UPX, ha sido escrito en Borland C++

El mensaje usado por el gusano, se presenta de esta forma:

Asunto: Secret for you...

Texto:
Hi Friend,
I send you my last work.
Mail me if you have some suggests.
See you soon. Best Regards. 

Adjunto: My_Work.exe

Para activarse, se requiere que el usuario abra el adjunto (doble clic).

Si esto ocurre el gusano despliega un mensaje de error falso:

Error - MY_WORK.EXE
File - MY_WORK.EXE - damaged,
Cannot open this file
[   OK   ]

Mientras muestra el mensaje se copia en el directorio SYSTEM de Windows (C:\Windows\System por defecto):

C:\Windows\System\MSGDI32.EXE

Luego, modifica el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft GDI 32 bits = C:\Windows\System\MSGDI32.EXE

Mientras se instala, Stopin busca y finaliza las siguientes aplicaciones, si estuvieran activas, las cuáles corresponden a conocidos antivirus y otras herramientas de seguridad:

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE

En el próximo reinicio de Windows, el gusano se activará por medio de la llamada en la clave "Run" del registro. Es entonces que activa su rutina de propagación vía e-mail.

Para enviar sus mensajes infectados, el gusano utiliza las funciones MAPI.

La lista de sus destinatarios, es seleccionada de las direcciones electrónicas presentes en los archivos con estas extensiones:

*.HTM
*.HT*
*.DOC

El gusano recoge las mismas revisando todas las posibles ubicaciones de estos archivos, en todos los discos duros de la máquina infectada.

El día 7 de cualquier mes, el gusano muestra el siguiente mensaje:

Message to USA
It is not with a B-52 that you will stop terrorist groups.
With this, you stop the life of women and children.
[   OK   ] 

El día 11 de cualquier mes, despliega el siguiente texto:

Can we try to stop the conflicts ? YES OF COURSE !'

Si el día es 28, Stopin crea un archivo llamado "StopIntifada.htm", escribiendo el siguiente texto en él, y luego abre el HTML en el explorador:

Stop Violence between Palestinians and Israeli
HOW TO STOP THE VIOLENCE 

-THE ISRAELIS:
To take the israelis tank out of the palestinians autonomous city.
Don't bomb civil place after a terrorist bomb attack.
To arrest and to kill the leaders of terrorist groups. 

-THE PALESTINIANS:
To stop to provoke the israelis army.
To stop the terrorist attacks. 

-THE BOTH:
To try to accept the other people.
TO ORGANIZE A MEETING BETWEEN ARIEL SHARON AND YASSER ARAFAT !

Thanx to read this.

Cómo borrar manualmente el virus

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee MSGDI32.EXE y pulse ENTER

3. Borre MSGDI32.EXE si aparece

4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

6. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada "Microsoft GDI 32 bits = C:\Windows\System\MSGDI32.EXE" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS