Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Allgro@mm (All3gro). Dice ser un antivirus... pero...
 
VSantivirus No. 407 - Año 5 - Domingo 19 de agosto de 2001

Nombre: W32/Allgro@mm (All3gro)
Tipo: Gusano de Internet
Alias: Win32.All3gro.A@mm
Fecha: 17/ago/01
Tamaño: 28,672 bytes

A menos que usted sea muy nuevo en Internet, debería saber que jamás debe aceptar archivos que no pidió, pues existe una gran posibilidad que se trate de un virus. Y mucho menos haga doble clic sobre cualquier adjunto que llega a su casilla, aún cuando parezca ser una herramienta enviada por alguien conocido, justamente para defendernos de estas amenazas.

Ese es el truco al que apuesta este gusano escrito en C++, capaz de enviarse en forma masiva a través del correo electrónico, al simular ser una nueva herramienta antivirus con la capacidad de descubrir y eliminar conocidos gusanos y troyanos de nuestra computadora.

El gusano puede llegar en un mensaje con estas características:

Asunto: New antivirus tool
Texto: Hey, checkout this new antivirus tool which checks
your system for viruses
Archivo adjunto: Antivirus.exe (28,672 bytes)

Si ejecutamos el adjunto, el virus se copia a si mismo a la carpeta System de Windows con el nombre SETUP30.EXE. Esta ubicación, la toma de la variable del sistema %System%, la cuál suele ser la siguiente:

C:\Windows\System\Setup30.exe

También modifica el registro para que este archivo se ejecute en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kernel Setup = C:\Windows\System\Setup30.exe

El gusano se propaga utilizando comandos MAPI (Messaging Application Processing Interface), para enviarse a direcciones de correo encontradas en mensajes actuales presentes en el sistema infectado. No utiliza la libreta de direcciones.

Curiosamente, el gusano realiza algunas acciones que pretenden ser beneficiosas, como limpiar la computadora de la posible presencia de algunos conocidos virus y troyanos:

W32/SirCam
 W32/Badtrans
 W32/Pretty.Park

En adición, el gusano también intentará quitar archivos que podrían ser críticos de estar infectados.

Para ello borra todos los archivos .VBS, además de los archivos MIRC.INI y SCRIPT.INI, si los detecta en carpetas específicas.

Debido a esta forma de actuar del virus, es posible se lleguen a borrar archivos importantes, por lo que se deberán reinstalar algunos programas.


Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

Kernel Setup

4. Pinche sobre el nombre "Kernel Setup" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS