Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/ExploreZip.worm.pak (Neolite, MiniZip)
 
Sábado 4 de diciembre de 1999.

Nombre: W32/ExploreZip.worm.pak
Alias:
Worm.ExploreZip.Neolite, MiniZip.

Nueva variante de ExploreZip Trojan (Worm.ExploreZip)

Esta variante ha sido modificada para reducir su tamaño a la mitad (por lo cual muchos antivirus no lo detectarán hasta que los actualice), con la utilidad "Neolite packing utility".

Este gusano se propaga a través de un archivo adjunto a un mensaje con el siguiente cuerpo:

Hi [Nombre de Destinatario]!,
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye

Hola [Nombre de Destinatario]!, 
Recibí su email y le estoy enviando una respuesta.
Échele una mirada al documento zippeado adjunto.
adiós

La rutina "de engaño" es un poco más elaborada que otros worms (y lo hace más peligroso). Los usuarios reciben el mensaje descripto más arriba, como si fuera una contestación a un e-mail que ellos enviaron previamente a una cuenta conocida. El nombre del usuario normalmente está en la primera línea y la línea del asunto es al azar, pero normalmente con el mismo asunto de un e-mail previamente enviado.

El e-mail contiene un archivo adjunto llamado "zipped_files.exe". El archivo muestra un icono clásico del WinZip, haciéndose pasar por un archivo ZIP autoextraíble.

Si lo ejecutamos (doble clic sobre él), el archivo crea los archivos "Explore.exe" en la carpeta Windows\System (bajo Windows 95/98) o Windows\System32 (Windows NT) y "_setup.exe" en el directorio de Windows, sin conocimiento del usuario. Lo que ve el usuario en cambio, es una clásica ventana desplegada por un archivo corrupto de WinZip:

Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help

(No se puede abrir el archivo: no parece ser un archivo válido. Si este archivo es parte de un backup de formato ZIP, inserte el último disco del backup e intente de nuevo. Por favor pulse F1 para ayuda.)

Bajo Windows 9x la siguiente línea se agrega al archivo Win.ini:

run=C:\WINDOWS\SYSTEM\Explore.exe

Bajo Windows NT, el siguiente valor se agrega a la clave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

"run"="C:\\WINNT\\System32\\Explore.exe"

El camino (path) real depende de su propia instalación de Windows. Esto hace que el gusano pueda ser ejecutado la próxima vez que Windows se reinicie. Se conectará a través de las rutinas MAPI a un programa cliente de correo (Exchange, Outlook, Outlook Express) si hay alguno instalado, y se reproducirá enviando mensajes desde la máquina infectada a todos las direcciones e-mails encontradas en la bandeja de entrada, y copiándose en los directorios Windows/System de otras máquinas a las que PC actual ha mapeado como unidades de disco, si forma parte de una red. Este comportamiento puede hacer que el gusano sea muy persistente, porque puede fácilmente aparecer nuevamente una vez quitado, si existe en otra máquina en red.

Su rutina de daño (payload), hace que el gusano también examine todas las letras de unidades de disco disponibles (de la C: a la Z:) y adultere todos los archivos con las siguientes extensiones: *.c, *.h, *.cpp, *.asm, *.doc, *.xls, *.ppt.

No las borrará, sino que las sobrescribirá con un archivo del mismo nombre pero con un valor de "cero" bytes, de tal manera que su recuperación será prácticamente imposible.

Es sumamente importante tener en cuenta que todas las máquinas conectadas a una red deben ser revisadas concienzudamente, ya que debido a las características del virus, una víctima conectada a su vez a una red, tal vez no se contagie directamente, pero si lo hará a las otras máquinas vistas por ella en una red, las que a su vez infectarán a otras, etc.

Win95.ZippedFiles es un gusano que se reproduce muy rápidamente, al usar el correo electrónico como medio de propagación. Es muy destructivo desde que es capaz de borrar todos los documentos de Microsoft Powerpoint, Word, Excel, código fuente de C, C++, Assembler (ASM) en todos las unidades de disco, incluyendo las conectadas a una red de computadoras.

Actualmente, todos los antivirus actualizados, reconocen y eliminan esta variante del I-Worm.ExploreZIP (detectada como I-Worm.ExploreZIP.Packed, MiniZip, etc.)

Existen al menos dos herramientas específicas para borrar este gusano de su máquina y reparar los cambios hechos en su registro o archivos .INI. Uno es el KILL_EZ de Norton. El otro el REMZIPPED de Computer Associates. Ambos pueden ser bajados desde nuestra sección "Otro software", "Antivirus o protecciones específicas".

Como sacarlo manualmente

Windows 95/98

1 - Cierre todas las aplicaciones, incluido su programa de e-mail.

2 - Abra el archivo WIN.INI en el directorio C:\Windows, y borre la siguiente línea:

run=C:\WINDOWS\SYSTEM\Explore.exe

3 - Guarde las modificaciones, salga de Windows y reinicie la computadora.

4 - Busque desde Inicio, Buscar, el archivo Explore.exe y bórrelo (generalmente en la carpeta C:\Windows\System).

5 - Salga de Windows y reinicie su computadora

*Note que el camino real (C:\WINDOWS) dependerá de que su instalación de Windows haya sido hecha en esa carpeta (por defecto) o no.

Windows NT:

1 - Cierre todas las aplicaciones, incluido su programa de e-mail.

2 - Ejecute el editor del registro de Windows NT (Regedit.exe) y localice la siguiente clave:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

3 - Borre la entrada:

"run"="C:\\WINNT\\System32\\Explore.exe"

4 - Salga del Regedit y guarde los cambios hechos antes de reiniciar su PC.

5 - Después del reinicio, busque el archivo Explore.exe en el directorio System32 (ej. C:\WinNT\System32) y bórrelo.

*Note que el camino real (C:\WINDOWS) dependerá de que su instalación de Windows NT haya sido hecha en esa carpeta (por defecto) o no.

Copyright 1996-2000 Video Soft BBS