Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Valcard (Admirer). Un saludo animado de San Valentín
 
VSantivirus No. 588 - Año 6 - Viernes 15 de febrero de 2002

W32/Valcard (Admirer). Un saludo animado de San Valentín
http://www.vsantivirus.com/valcard.htm

Nombre: W32/Valcard (Admirer)
Tipo: Gusano de Internet
Alias: I-Worm.Valcard, W32/Admirer@MM
Tamaño: 97 Kb (comprimido con UPX), 132 Kb (sin comprimir)
Plataforma: Windows
Fecha: 14/feb/02

El gusano Valcard (también conocido como Admirer), simula ser una tarjeta relacionada con el día de los enamorados, o San Valentín.

Se propaga a través del correo electrónico como adjunto a un mensaje infectado. El código del virus es un ejecutable del tipo PE (Portable Executable) de Win32, comprimido con la utilidad UPX. Programado en Visual Basic, el tamaño real de su código son 132 Kb, pero comprimido muestra 97 Kb.

El gusano utiliza el Outlook y su libreta de direcciones para enviarse a todos sus contactos, en un mensaje con estas características:

Adjunto: ValentineCard.exe

El archivo muestra el icono de las animaciones de Macromedia Flash.

Asunto: (seleccionado al azar de la siguiente lista):

Secret Admirer
Somebody Loves You
Romance from Afar
Love at first sight
...when sleepers wake and yet still dream...
Be Mine ?!
Yours Always
Happy Valentines
From Me To You
Thy eternal summer shall not fade
I can express no kinder sign of love, than this kind kiss
Poetry is an echo, asking a shadow to dance
O, beauty, till now I never knew thee!
Romantic gesture
Good night, sweet prince, and flights of angels sing thee to thy rest

Texto del mensaje: (seleccionado al azar de esta lista)

Happy Valentines
I hope you like the card I've attached,
even if you don't feel the same.


Febuary Feelings
It's that time of year again.
But I'm still only sedning a card to you.
Happy Valentines
I hope you like the card I've attached,
even if you don't feel the same.


Hi
I feel like a child sending you this card
but I just had to do it.
Happy Valentines
I hope you like the card I've attached,
even if you don't feel the same.


...and every breath I ever took,
every tear I ever wept,
Every star I wished upon,
Seemed nothing until now.
Happy Valentines
I hope you like the card I've attached,


In this life we cannot do great things.
We can only do small things with great love.
Happy Valentines
I hope you like the card I've attached,
even if you don't feel the same.

En el texto se agrega en todos los casos el nombre del usuario infectado como remitente.

Si quien recibe un mensaje infectado, intenta ejecutar la supuesta tarjeta animada, haciendo doble clic sobre el adjunto ValentineCard.exe (o ValentineCard si no se tiene habilitada en Windows la opción para ver las extensiones), provoca que el gusano tome el control, y se instale en esa computadora.

Primero, se copia al directorio SYSTEM de Windows con el mismo nombre del adjunto:

C:\Windows\System\ValentineCard.exe

Luego, modifica el registro de Windows para autoejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
14th = C:\Windows\System\ValentineCard.exe

También crea la siguiente entrada que le sirve como referencia para un contador de ejecuciones (en principio, para saber si es la primera vez que se ejecuta):

HKLM\Software\Microsoft\Windows\CurrentVersion
Valentine = true

Los pasos posteriores, dependerán de esta clave. Pero debido a un error en el código del gusano, termina haciendo lo mismo cada vez que se ejecuta, sin importar si es la primera vez o no: crear un archivo C:\evil.jpg conteniendo en realidad sonido. Pero como la extensión es .JPG, el sistema falla al intentar ejecutarlo. Si por curiosidad renombramos el archivo .JPG como .WAB (el gusano no lo hace en ningún momento),entonces podríamos escuchar la frase "Somebody loves you" (Alguien te ama).

El gusano intenta también crear (pero falla), un archivo C:\1.wav y abrir una ventana con el título: I Love You !

En el botón About (Acerca de), muestra este mensaje:

Flash Player
Flash Player 4.0
Copywrite (C) 1996-1999 Macromedia, Inc.
http://www.macromedia.com

El gusano debería reiniciar Windows cada jueves que se ejecute, pero falla.

Cómo borrar manualmente el virus

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Teclee VALENTINECARD.EXE y pulse ENTER

3. Borre VALENTINECARD.EXE si aparece

4. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

6. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada "14th" y "C:\Windows\System\ValentineCard.exe" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas:

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS