VSantivirus No. 641 - Año 6 - Martes 9 de abril de 2002
W32/Aphex (Aplore). Instala un servidor Web en nuestro PC
http://www.vsantivirus.com/aphex.htm
Nombre: W32/Aphex
Tipo: Gusano de Internet
Tamaño: 319,488 Bytes
Fecha: 9/abr/02
Alias:
W32.Aphex@mm
Bloodhound.VBS.Worm
I-Worm.Aphex
WORM_PSECURE.A
Worm.PSecure
W32/Explorer
W32/Aplore@MM
W32/Aplore@MM
W32/Aplore.A@mm
Win32.Aplore.A@mm
WORM_APLORE.A
Se trata de un gusano de envío masivo, capaz de reenviarse a todos los contactos de la libreta de direcciones de Windows. También utiliza los canales de IRC para propagarse.
Comprimido con la utilidad UPX y programado en Borland Delphi, el gusano utiliza el Visual Basic Script para propagarse a través de mensajes infectados vía Outlook.
Está originado en un sitio malicioso que incita al visitante a bajar y ejecutar el código del virus, un ejecutable que al ser descargado y ejecutado, muestra un mensaje falso.
También modifica el registro de Windows, libera otros archivos y se copia a si mismo en el directorio
System de Windows.
Permanece en memoria y envía mensajes publicitarios a los usuarios conectados al mismo canal de IRC que visite la víctima infectada. Estos mensajes intentan hacer creer a los usuarios que se trata de una página con contenido pornográfico.
FREE PORN: http://free:porn@x.x.x.x:8180
El gusano instala un servidor Web en la máquina infectada
(puerto 8180), y a esa dirección se conecta el navegador con el URL visto arriba, mostrando esta página:
Browser Plugin Required:
You may need to restart your browser for changes to take affect.
Security Certificate by Verisign 2002.
MD5: 9DD756AC-80E057FC-E00703A2-F801F2E3
Click HERE and choose "Run" to install.
Si el usuario hace clic sobre el enlace, se produce la descarga del gusano.
El gusano se conecta al servidor IRC.DAL.NET en el puerto
6667 y se pone a la escucha en el puerto 113 en espera de comandos remotos. Tiene la capacidad de enviar mensajes al AOL Instant Messages, el mensajero instantáneo de America On Line.
Una vez en la máquina infectada, el virus genera los siguientes archivos:
C:\Windows\System\EXPLORER.EXE
C:\Windows\System\PSECURE20X-CGI-INSTALL.VERSION6.01.BIN.HX.COM
C:\Windows\System\EMAIL.VBS
C:\Windows\System\INDEX.HTML
C:\Windows\System\APHEX.JPG
C:\Windows\System\HWND32.DLL
Los dos primeros son copia del propio gusano.
El archivo EMAIL.VBS es un script usado para la propagación vía e-mail
El gusano también crea un archivo IPHIST.DAT de cero bytes, en la carpeta donde se ejecute el gusano.
También crea la siguiente entrada al registro para su ejecución automática en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Explorer = C:\Windows\System\EXPLORER.EXE
El gusano ejecuta el archivo EMAIL.VBS con la utilidad
WSCRIPT.EXE de Windows (el Windows Scripting Host), para enviar copias de si mismo a toda la libreta de direcciones como ya dijimos.
Los mensajes enviados tienen estas características:
Asunto: .
Texto del mensaje: .
Datos adjuntos: psecure20x-cgi-install.version6.01.bin.hx.com
Asunto y texto, solo incluyen un punto. El largo nombre del adjunto, intenta disimular se trata de un ejecutable
(.COM), haciéndose pasar por la dirección HTML de un sitio
.COM
También libera el archivo INDEX.HTML, una página Web que intenta descargar y ejecutar el código del virus (el archivo
psecure20x-cgi-install.version6.01.bin.hx.com en la carpeta
Windows\System).
La página muestra el mismo texto que vimos antes:
Browser Plugin Required:
You may need to restart your browser for changes to take affect.
Security Certificate by Verisign 2002.
MD5: 9DD756AC-80E057FC-E00703A2-F801F2E3
Click HERE and choose "Run" to install.
El virus libera por último la imagen Aphex.jpg
en C:\Windows, e intenta propagarse vía IRC.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por W32/Aphex, y los mensajes recibidos que contengan el virus.
4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):
C:\Windows\System\EXPLORER.EXE
C:\Windows\System\PSECURE20X-CGI-INSTALL.VERSION6.01.BIN.HX.COM
C:\Windows\System\EMAIL.VBS
C:\Windows\System\INDEX.HTML
C:\Windows\System\APHEX.JPG
C:\Windows\System\HWND32.DLL
5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Explorer
C:\Windows\System\EXPLORER.EXE
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Recomendamos utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión de este gusano con Internet.
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Modificado: 10/abr/02
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
