Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Un peligro mortal llamado "I-Worm.ZippedFiles"
 
Viernes 11 de junio de 1999.

Nombre: IWorm/ZippedFiles

Un nuevo gusano (worm), conocido como "I-Worm.ZippedFiles", "I-Worm.ExploreZip", o simplemente "ExploreZip", está propagándose a través de Internet, y como en casos anteriores, el correo electrónico es el medio elegido para ello.

Especialistas como Rob Rosenberger le siguen quitando importancia a estas amenazas y advertencias sobre este tipo de virus lanzadas por la prensa (la mayoría, por cierto, con tintes sensacionalistas). Rosenberger insiste en que todas estas amenazas no son nada nuevo, y que pueden evitarse aplicando siempre aquello de no ejecutar ningún archivo no solicitado, y solo hacerlo luego de revisarlo con uno o dos antivirus "al día" en el caso de los archivos bajados o de algún modo pedidos, agregamos nosotros. Pero la gran cantidad de usuarios (a los que en algún artículo mencionamos como "netizen", o sea ciudadanos de la red), por inexperiencia o simple imprudencia, cometerán el error de no seguir estos consejos.

En este caso, el virus, es capaz de destruir los datos de una máquina infectada en cuestión de segundos, y con la misma celeridad pasmosa conque destruye, se está extendiendo a través de la red, y ello a pesar de las malas experiencias vividas con antecedentes como el "Melissa" y el "CIH" (o "Chernobyl"). Y justamente mezclando las características más peligrosas de ambos: la propagación a través del correo y la destrucción de datos.

El virus fue reportado por primera vez en Israel, en un mensaje con un archivo adjunto llamado "zipped_files.exe". El domingo tomó conocimiento del mismo el "Symantec Corp.'s AntiVirus Research Center" (Norton), pero hasta el jueves (ayer) el "Computer Emergency Response Team" de la Universidad Carnegie Mellon (USA), no había recibido informes de este gusano. Pero hoy viernes, grandes empresas como Microsoft, NBC y General Electric (GE), han reportado ya una gran cantidad de casos, tantos que GE, por ejemplo, cerró su sistema de correo electrónico en un esfuerzo por aislar el virus de sus computadoras.

AVP (Antiviral Toolkit Pro) por su parte, informa que el virus ha sido capaz ya de infectar computadoras de otras grandes compañías alrededor de todo el mundo. Kaspersky Labs (AVP), ha recibido ya avisos de infecciones provenientes de Canadá, Alemania, Grecia, República Checa, Rusia y otros países.

El "ExploreZip" se propaga a sí mismo (característica que lo clasifica como "gusano" justamente), usando los clientes de correo basados en MAPI (Messaging Application Programming Interface) de Microsoft, tales como el OutLook, OutLook Express, Microsoft Exchange, etc. El mensaje, además del mencionado archivo adjunto (ZIPPED_FILES.EXE) contiene el siguiente texto:

Hi [aquí el nombre del destinatario]!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.

Dependiendo de la variante del virus, puede contener un "bye", o un "Sincerely" [y el nombre de la persona que envía el mensaje], como firma.

El virus utiliza una táctica diferente para "tomar" las direcciones de correo a las que luego se envía a si mismo (con el attach correspondiente del archivo infectado). Utiliza los mensajes recibidos que se encuentren en la bandeja de entrada del cliente de correo usado, y es de allí que saca las direcciones a las que luego se envía a si mismo.

Si al recibir un mensaje de este tipo, ejecutamos el archivo adjunto llamado "ZIPPED_FILES.EXE", se nos mostrará en la pantalla de nuestro monitor este mensaje en una clásica ventana de error con un círculo rojo y una cruz blanca:

Error
Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help.

La idea de esto es que pudiéramos llegar a pensar que el archivo está corrupto, e incompleto, y por lo tanto no nos preocuparíamos más de él. Sin embargo, al salir este mensaje, el virus ya se ha instalado a sí mismo en el sistema copiando un archivo llamado EXPLORE.EXE en la carpeta SYSTEM (C:\WINDOWS\SYSTEM\EXPLORE.EXE). Dependiendo de la versión, puede copiar otro archivo con el nombre _SETUP.EXE en la carpeta C:\WINDOWS (C:\WINDOWS\_SETUP.EXE )

En ambos casos cambia además la configuración del fichero WIN.INI (la línea que contenga el comando "run=") para asegurarse que se ejecutará cada vez que Windows se inicie. Dependiendo de la variante del virus, hay por lo tanto dos posibilidades para esta modificación: "run=_setup.exe" o "run=C:\WINDOWS\SYSTEM\Explore.exe".

El virus sin embargo, puede ser identificado si está activo en nuestra computadora, simplemente pulsando las teclas CTRL+ALT+SUPR o DEL, acción que suele mostrarnos las tareas o programas que se están ejecutando en Windows (algunos virus y trojans pueden esconderse a esta acción, pero este no es el caso). En la ventana de tareas aparecerá alguno de los siguientes nombres:

Zipped_files
Explore
_setup

El virus no comprueba si ya está activo en la memoria antes de ejecutarse, por lo que puede llegar a aparecer varias veces repetido en esta lista (y en la memoria del sistema).

Lo realmente peligroso, es que cada vez que el programa "ZIPPED_FILES.EXE" es ejecutado (o sea al recibirlo y abrirlo), el virus examina todas las unidades de disco (desde la C: hasta la Z: sin diferenciar entre unidades locales o de red) y literalmente destruye todos los archivos con las extensiones: .DOC, .XLS, .PPT, .ASM, .C y .HA. Sin embargo, no se conforma con borrarlos, sino que mantiene sus nombres intactos, pero sus tamaños en cambio quedan todos en CERO bytes, haciendo prácticamente imposible su recuperación.

El consejo obvio, si usted recibe un mensaje de estas características, bórrelo sin abrir el archivo adjunto (y más obvio sería repetirle que NUNCA abra ningún archivo adjunto no solicitado).

En el caso de que usted esté infectado, puede seguir estos pasos para eliminar el virus (para evitar se siga propagando, pero debido a las características del mismo, usted habría perdido todos sus archivos .DOC, etc..., no lo olvide):

Si usted está ejecutando Windows 95 o 98, reinicie su computadora en modo MS-DOS, luego revise (con EDIT) el archivo WIN.INI (teclee EDIT C:\WINDOWS\WIN.INI) y borre de allí cualquier línea similar a esta:
"run=c:\windows\system\explore.exe" o a esta: "run=c:\windows\_setup.exe" (sin las comillas).

Luego borre el archivo "c:windows\system\explore.exe" o "c:\windows\_setup.exe" y reinicie Windows.

Si usted está ejecutando Windows NT, ejecute el programa REGEDIT (no el REGEDT32) y localice esta clave:

HKEY_CURRENT_USER
Software
Microsoft
Windows NT
CurrentVersion
Windows

Borre el siguiente key: "run"="C:\WINNT\System32\Explore.exe"

Reinicie Windows NT y borre el archivo "c:\winnt\system32\Explore.exe".

Puede bajar actualizaciones de los antivirus F-Prot, AVP, Sophos, Norton y Panda Software que ya reconocen este gusano, desde sus sitios, o directamente desde nuestra página.

Norton ofrece una herramienta gratuita (KILL_EZ) para remover el "I-Worm.ZippedFiles" de la memoria, borrarlo de su máquina y reparar los cambios hechos en su registro o archivos .INI (no recupera archivos borrados por el virus).

Vea más datos en nuestro articulo: Más sobre el "I-Worm.ZippedFiles"

  

Copyright 1996-2000 Video Soft BBS