|
VSantivirus No. 572 - Año 6 - Miércoles 30 de enero de 2002
W32/Whitebait. Falso visor de imágenes pornográficas
http://www.vsantivirus.com/whitebait.htm
Nombre: W32/Whitebait
Tipo: Gusano de Internet
Alias: W32.Whitebait@mm
Fecha: 29/ene/02
Tamaño: 633,334 bytes
Plataforma: Windows
Fuente: Symantec
Este gusano de Internet, posee una gran capacidad de propagación debido a sus características de envío masivo de mensajes. Una vez ejecutado, el gusano busca todas las direcciones de correo posibles en todos los archivos
.HTM, .HTML, .PHP, .ASP, y README.TXT de los discos de la computadora infectada, y se envía luego a si mismo, a todas las direcciones encontradas, en un mensaje similar a este:
Asunto: WARNING : Black_Piranha
Adjunto: MSsecu.exe (633,344 bytes)
El W32/Whitebait consiste en dos partes: el programa host que lo contiene y el propio gusano.
El programa host se ha estado propagando en los canales de IRC como un programa capaz de reproducir imágenes pornográficas.
Cuando se ejecuta, él se copia en C:\Windows\MSsecu.exe y despliega las imágenes. Pero también libera al gusano en
C:\Windows\WinSystem.exe y lo ejecuta.
Cuando el gusano es ejecutado, el mismo realiza las siguientes acciones:
Se agrega al registro, para autoejecutarse luego en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinSystem = C:\Windows\WinSystem.exe
Busca en todos los archivos .HTM, .HTML, .PHP, .ASP, y README.TXT de la computadora, direcciones de correo que usará para replicarse. Las direcciones encontradas se guardan en un archivo de texto (pero con nombre de ejecutable) en
C:\Windows\Bdm.com.
Luego, el gusano usará su propia máquina SMTP para enviarse a todas las direcciones que ha encontrado.
El mensaje enviado tiene las siguientes características:
Asunto: WARNING : Black_Piranha
Texto:
Si vous pouvez lire cet e-mail, c'est que les services
Microsoft on détecter la présence du virus Black_Piranha
dans votre système Windows. pour désinfecter votre système
vous n'avez qu'a exécuter le programme en piece jointe.
Pour plus d'informations : http:/ /www.microsoft.com
Attachment: MSsecu.exe (This is the host application;
it is 618 KB in size)
From: security@microsoft.com
Como sacar el virus de un sistema infectado
Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos detectados como W32.HLLP/Gosusub o similar por su antivirus.
- En Windows 95, 98 y Me
Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Teclee lo siguiente y pulse ENTER
MSSECU.EXE, WINSYSTEM.EXE
3. Borre MSSECU.EXE y WINSYSTEM.EXE si aparecen
Salte al punto "Para modificar los cambios en el
registro"
- En Windows NT, 2000 y XP:
1. Pulse CTRL+ALT+SUPR
2. Seleccione Manejador de tareas
3. Seleccione Procesos
4. Pinche en el cabezal de la columna Nombre de la imagen, dos veces, para ordenar alfabéticamente la lista.
5. Busque en la lista "Procmon.exe". Si lo encuentra, márquelo, y seleccione Finalizar proceso.
6. Cierre el Manejador de tareas
7. Ejecute de nuevo un antivirus, y borre todos los archivos detectados como
W32.Whitebait@mm.
8. Luego, siga con las instrucciones para modificar el registro.
- Para modificar los cambios en el registro:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "Run".
4. Si en la ventana de la derecha aparece el nombre "WinSystem" con los datos
"C:\Windows\WinSystem.exe", pinche sobre
"WinSystem" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar), y ejecute nuevamente un antivirus para revisar todo su sistema.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|