Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/Thonic.A. Infecta archivos, se propaga por e-mail
 
VSantivirus No. 1613 Año 8, lunes 6 de diciembre de 2004

 W32/Thonic.A. Infecta archivos, se propaga por e-mail
http://www.vsantivirus.com/thonic-a.htm

Nombre: W32/Thonic.A
Nombre NOD32: Win32/Thonic.A
Tipo: Gusano de Internet y virus infector de ejecutables
Alias: Thonic, I-Worm.Thonic.a, I-Worm/Thonic.A, PE_THONIC.B, VBS_THONIC.B, W32.Thonic@mm, W32/Thonic.6144.A, W32/Thonic.a@MM, WIN.EXE.Virus, Win32.FileInfector, Win32/Thonic.A, Worm.Thonic.A
Fecha: 13/ago/04
Plataforma: Windows 32-bit
Tamaño: 5,482 bytes

Este gusano se propaga adjunto a un mensaje electrónico como el siguiente:

Asunto: Free MyDoom.B Patch !

Texto del mensaje:

Very urgent !

You should run this patch to protect your Windows OS
immediately to avoid this danger virus variant.

Thank You,

Microsoft Technical
Support Staff

Any rights not expressly granted herein are reserved.

Contact Microsoft with questions or problems.

(c) 2004 Microsoft Corporation. All right

Datos adjuntos: funnystuff.avi.exe

La infección se produce cuando el usuario hace doble clic sobre el adjunto. El ejecutable infecta la utilidad NOTEPAD.EXE (el bloc de notas de Windows), y la copia en la siguiente ubicación:

c:\funnystuff.avi.exe

El gusano también es capaz de infectar otros archivos PE (Portable Executable) con las siguientes extensiones:

.exe
.cpl
.scr

PE es un formato de archivos ejecutables de Windows, que recibe el nombre de "portátil" porque el mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.

Una vez en memoria, el gusano intercepta todas las llamadas a las siguientes APIs de Windows:

WinExec
MoveFile
SetCurrentDir

API (Application Program Interface), es un conjunto de rutinas que un programa utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo.

Cada vez que el gusano detecta una de las llamadas mencionadas, intentará infectar los archivos relacionados, que cumplan con las condiciones vistas antes.

El gusano se agrega a si mismo al final de los archivos que infecta. Por ello los archivos infectados pueden aumentar unos 8,192 bytes su tamaño. En ocasiones, el gusano puede agregar otros 4,096 bytes más, conteniendo solo basura, a cada archivo infectado.

En el proceso, crea una nueva sección en el archivo infectado, con el nombre de ".Nameles". Para no infectar de nuevo un archivo, busca dicho nombre en el header (cabezal), y no lo infecta si la sección existe.

Para propagarse por correo electrónico en mensajes como el ya descrito, el gusano libera y luego ejecuta un script VBS de 875 bytes en una de las siguientes ubicaciones:

c:\vqmsxjvyc.vbs
c:\windows\vqmsxjvyc.vbs

Cuando el script se ejecuta, el gusano accede al Outlook y Outlook Express usando funciones MAPI (Messaging Application Programming Interface, una interfase de programación para aplicaciones que gestionan correo electrónico), y se envía a todos los contactos de la libreta de direcciones del programa, usando FUNNYSTUFF.AVI.EXE como adjunto. 

Su código contiene el siguiente texto:

Win32.Nameless Mist - AzagTH0TH


Reparación manual

Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Repare (*) los archivos detectados como infectados

(*) Algunos archivos del virus solo podrán ser borrados


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS