Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Ultimax.E. Se propaga en recursos compartidos
 
VSantivirus No. 838 - Año 6 - Miércoles 23 de octubre de 2002

 W32/Ultimax.E. Se propaga en recursos compartidos
http://www.vsantivirus.com/ultimax-e.htm

Nombre: W32/Ultimax.E
Tipo: Gusano de Internet
Alias: Win32.Ultimax.E, W32.HLLW.Ultimax, Win32/Ultimax.B, Win32/Ultimax.E.Worm
Variantes: W32/Ultimax.C, W32/Ultimax.D
Fecha: 22/oct/02
Plataforma: Windows 32-bits

Este gusano es capaz de propagarse a través de unidades compartidas en Windows. Para ello selecciona direcciones IP al azar, buscando a través de Internet computadoras con la opción "Compartir impresoras y archivos para redes Microsoft" habilitada con los respectivos recursos accesibles.

Al encontrarlos, se copia a si mismo en la carpeta de inicio de Windows de cada computadora remota disponible, buscando cualquiera de los siguientes directorios:
windows\start menu\programs\startup
documents and settings\default user\start menu\programs\startup
start menu\programs\startup
windows\Startmen-\Programme\Autostart
windows\Menu Avvio\Programmi\Esecuzione automatica
windows\Menu Iniciar\Programas\Iniciar
windows\Start-menyn\Program\Autostart
windows\Menu D-marrer\Programmes\D-marrage
windows\Menuen Start\Programmer\Start
windows\Menu Start\Programy\Autostart
win98\start menu\programs\startup
win95\start menu\programs\startup
win98\Startmen-\Programme\Autostart
win95\Startmen-\Programme\Autostart

El gusano podría fallar en algunas versiones de Windows en español, donde la carpeta de inicio en realidad es:

Windows\Menú Inicio\Programas\Inicio

En cada caso exitoso, al reiniciarse la máquina infectada, el gusano se ejecutará en ella localmente.

Mientras en versiones anteriores, el gusano descarga y ejecuta un archivo que habilita el acceso a un servidor para adultos, la versión E trae consigo un "porn-dialer", una pequeña utilidad que automáticamente intentará discar a un número telefónico para acceder directamente a un servidor pornográfico.

Esta utilidad es copiada en la carpeta de Windows como "dlres.exe", realizándose las modificaciones para agregarse a la lista de conectoides de acceso telefónico. Esta utilidad está preparada para comenzar a discar automáticamente, pero esto no funciona correctamente.

Luego, cada computadora infectada intentará conectarse a direcciones IP al azar para repetir el mismo ciclo descripto.

Uno de los síntomas más evidentes de la infección, es una degradación de la performance del sistema y las redes infectadas debido a la actividad de propagación del gusano.

Cuando se ejecuta por primera vez en una máquina infectada, el gusano se copia a si mismo en el directorio de Windows con el mismo nombre con el cuál el archivo originalmente se copió. Luego, se agrega a la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
rdvs = C:\Windows\[nombre].exe

También crea el siguiente valor:

HKEY_CURRENT_USER\SOFTWARE\mysoftware\server
fn = [nombre del archivo original].exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME y C:\WINNT en Windows NT/2000/XP).

En próximos reinicios, el ciclo vuelve a reiterarse.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: 

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

rdvs

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Mysoftware
\Server

8. Pinche en la carpeta "Server" y bórrela.

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS