Virus: W32.Antiqfx.C. Simula ser el auténtico MSCDEX.EXE

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 378 - Año 5 - Sábado 21 de julio de 2001

Nombre: W32/Antiqfx.C
Tipo: Gusano de Internet
Fecha: 12/jul/01
Alias: W32.Antiqfx.C, Win32.HLLW.AntiQFX.b

W32/Antiqfx y W32/Antiqfx.C tienen las mismas características, y solo difieren en su tamaño. Es un virus escrito en C++ y comprimido con la utilidad PePACK, que además está protegido con otra utilidad, HASP layer.

W32/Antiqfx.C.Worm se ejecuta con el nombre Mscdex.exe (existe un archivo de Windows con ese nombre en C:\Windows\Command, el cuál se utiliza bajo MS-DOS para asignar unidades de CD-ROMS al sistema). El tamaño de esta versión es de 172,291 bytes (el Mscdex.exe de Windows ocupa unos 24 Kb). Esta variante se propaga solo en una red local.

El gusano enumera los recursos de red disponibles, y se copia a si mismo en la carpeta \WINDOWS\Menú Inicio\Programas\Inicio de todas las computadoras remotas que compartan recursos.

En ciertas ocasiones, también modifica el archivo C:\Autoexec.bat para ejecutarse al inicio de Windows:

@echo off
mscdex.exe

El gusano solo ejecuta una copia de si mismo al mismo tiempo.

Luego, busca archivos con las siguientes extensiones, y procede a borrarlos:

.bth
.mar
.gly
.isp
.pos
.bru
.qfo
.que
.cat
.lut
.lso

También borra los siguientes ejecutables:

Qfxwin.exe
Qfxwin.ini
Qfxwin1.dll
Qfxcc.dll
Aver.ini
Amwin1.dll
Amcc.dll
Avermagic.exe
Amagic.exe

Para quitar este virus de un sistema infectado, ejecute uno o dos antivirus actualizados, y recupere de un respaldo los archivos borrados.

Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy