Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Apost.A. Reenvío masivo de archivo README.EXE
 
VSantivirus No. 423 - Año 5 - Martes 4 de setiembre de 2001

Nombre: W32/Apost.A
Fecha: 3/set/01
Alias: W32.Urgent.Worm@mm, W32/Apost@MM, W32/Apost-mm, W32/Apost-A, W32/Review
Tamaño: 24,576 bytes

Es un gusano escrito en Visual Basic, que arriba en un mensaje con un archivo README.EXE (LEAME en inglés).

Eso es justamente lo que usted no debe hacer (y con ningún adjunto no solicitado que arribe a su computadora).

Generalmente, el nombre README puede ser encontrado en la instalación de numerosos programas y aplicaciones, y es un archivo de texto (.TXT), con información útil o de último momento del nuevo programa.

En este caso es un .EXE, cuya extensión además podría quedar oculta en la instalación por defecto de Windows (ver "Información complementaria" al final de este artículo).

El texto del mensaje, le pide mirar el adjunto. Si usted hace doble clic sobre dicho archivo, la infección comenzará.

Primero, aparecerá un mensaje de error falso, haciéndonos creer que el archivo recibido está corrupto, y que dicho archivo aparentemente es un autoejecutable creado por el compresor WinZip:

WinZip SelfExtractor: Warning
CRC error: 234#21
[    Aceptar    ]

Cuando pulsamos en [Aceptar], se abre esta otra pequeña ventana, con un gran botón con la leyenda "Open", que prácticamente cubre toda la ventana.

Urgent!
[    Open    ]

El gusano genera entonces una copia de si mismo en la carpeta de Windows (C:\Windows por defecto), con el mismo nombre del original: readme.exe

También, modifica las siguientes entradas del registro, para ejecutarse automáticamente en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Macrosoft = c:\windows\readme.exe 

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
Macrosoft = c:\windows\readme.exe

Luego se copia a si mismo al raíz de todas las unidades de disco, incluyendo disquetes, Zip drives y unidades de disco conectadas en red.

Entonces, se enviará por correo a todos los contactos de la libreta de direcciones de Windows, en un mensaje con estas características (puede enviarse hasta cuatro veces por vez):

Asunto: As per you request! 

Texto:
Please find attached file for your review.
I look forward to hear from you again very soon. Thank you.

Adjunto: readme.exe (24,576 bytes)

Luego, se desactivará, hasta el próximo reinicio de Windows.

Cuando ello ocurra, volverá a repetir los mismos pasos en cada reinicio, volviéndose a enviar por correo a otras víctimas, o a las mismas. Este tipo de reenvío en masa, es lo que causa más peligro en este gusano, por su capacidad de saturar los servidores por la cantidad de mensajes que podría reenviar.

Una vez enviados, los mensajes son borrados de la carpeta de Elementos Enviados para evitar hacer sospechar al usuario.

El icono del archivo README.EXE, es el clásico (por defecto) de toda aplicación MS-Visual Basic 6.

Para limpiar su PC

Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como "Apost-A", "Urgent", etc.

Borre con REGEDIT (Inicio, Ejecutar, Regedit y Enter), la clave "macrosoft" de la siguiente rama (pinchar en la carpeta "Run" y borrar "macrosoft" en la ventana de la derecha):

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run

Busque en su computadora, y en todas las unidades de disco e incluso disquetes y unidades ZIP, archivos con el nombre README.EXE (Inicio, Buscar, Archivos y carpetas), y borre todos los que aparezcan en las unidades raíz (C:\, D:\, A:, etc.) y en la carpeta Windows (C:\Windows).

Información complementaria

Para poder ver las extensiones verdaderas de los archivos y visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.


Fuentes: McAfee, Sophos, Panda, Symantec, Kaspersky AV, Trend Micro, CAI
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS