|
VSantivirus No. 901 - Año 7 - Miércoles 25 diciembre de 2002
W32/Tulu.A. Borra y daña archivos del sistema
http://www.vsantivirus.com/tulu-a.htm
Nombre: W32/Tulu.A
Tipo: Gusano
Alias: Win32/Tulu.A, W32/Tulu, W32.Tulu, W97M.Tulu
Tamaño: 62,976 bytes
Plataforma: Windows 95, 98 y Me
Se trata de un simple pero destructivo gusano cuyo principal cometido es intentar copiarse cada pocos minutos a cualquier disquete desprotegido insertado en la unidad A. De hecho, esta es su principal forma de propagación.
Cuando se ejecuta, se oculta a si mismo de la lista de procesos (CTRL+ALT+SUPR), utilizando una API indocumentada, que solo se aplica en las versiones de Windows 95, 98 y Me. Por ese motivo, el gusano no funciona en Windows NT, 2000 o XP.
Si se ejecuta, intenta copiarse a los disquetes utilizando alguno de los siguientes nombres:
Avisos.exe
Chistes.exe
Claves.exe
Codigos.exe
Datos.exe
Demo.exe
Documentos.exe
Escuela.exe
Informes.exe
Juegos.exe
Ktulu.exe
Nora.exe
Notas.exe
Oficios.exe
Passwords.exe
Porno.exe
Reportes.exe
Textos.exe
Trabajos.exe
Trucos.exe
Cualquiera de esos archivos encontrados en un disquete podría ser el gusano, y su ejecución infectaría la computadora.
También se copia en el duro con los siguientes nombres:
C:\Windows\Msconfig32.exe
C:\Windows\System\Rundl32.exe
Nota: existen archivos auténticos de Windows (que no deben ser borrados) con nombres casi similares, pero en diferentes ubicaciones:
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\MSCONFIG.EXE
"C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
Luego, el gusano registra un mutex llamado "EvitarSegundaInstanciaParaKtulu", que previene las copias múltiples del virus (un mutex es un objeto utilizado para evitar que más de un proceso acceda al mismo tiempo al mismo recurso).
Luego, crea la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ktulu
Times = 0
Dicha entrada la utiliza su componente de virus de
macros, descripto más adelante.
Para cargarse en memoria cada vez que Windows se reinicia, crea la siguiente entrada:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Shell = C:\Windows\System\rundl32.exe
El gusano también crea en el disco duro el archivo
"Leame.vbs", que cuando es ejecutado, despliega una ventana con el siguiente texto:
Leame con Atención
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
Virus: W32/Ktulu
Autor: Anónimo
Origen: México
Fecha: 24 julio 2001
PD: Carpe Diem, Everyday.
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
[ Aceptar ]
También intenta copiarse a todas las unidades de CDROM con el nombre de
"autorun.exe" y liberar un archivo llamado "autorun.inf" que se encarga de ejecutar al primero. Esto solo funciona en unidades de CD regrabables o emulaciones de unidades de CD.
Si la plantilla por defecto de Microsoft Word (NORMAL.DOT), está presente en el disco duro, el gusano la sobrescribe por otra que ejecuta una copia del virus cada vez que un documento es abierto en Word.
El gusano examina la entrada "Times" de "HKEY_LOCAL_MACHINE \Software \Microsoft \Ktulu" para su rutina de infección desde la plantilla
NORMAL.DOT.
Los archivos "Regedit.exe" y "Msinfo32.exe" también son sobrescritos por el código del gusano.
Además, los siguientes archivos resultan dañados al sobrescribir el gusano su contenido con el texto
"Ktulu :)":
Attrib.exe
Bootdisk.bat
Deltree.exe
Edit.com
Format.com
Mscdex.exe
Scanreg.exe
Sys.com
Ebd\Autoexec.bat
Ebd\Ebd.cab
Ebd\Fdisk.exe
Ebd\Setramd.bat
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Cómo recuperar REGEDIT.EXE
En Windows 98:
1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.
2. Marque "Extraer un archivo del disco de instalación"
3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:
REGEDIT.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").
En Windows Me:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:
REGEDIT.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").
Nota: Puede proceder del mismo modo para recuperar MSINFO32.EXE.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Shell
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ktulu
5. Pinche en la carpeta "Ktulu" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Como limpiar documentos de Word infectados
Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).
Programa y actualización pueden ser descargados de nuestro sitio:
http://www.vsantivirus.com/f-prot.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|