|
VSantivirus No. 735 - Año 6 - Viernes 12 de julio de 2002
W32/Card.A. Falso programa de tarjetas virtuales
http://www.vsantivirus.com/card-a.htm
Nombre: W32/Card.A
Tipo: Gusano de Internet
Alias: WORM_CARD.A, CARD.A, W32.Wabbin, W32/Wabbin, W32/Wabbin@mm
Plataforma: Windows 32-bits
Tamaño: 32,768 bytes
Fecha: 11/jul/02
Este gusano envía un mensaje a los primeros 100 usuarios de la libreta de direcciones de Microsoft Outlook (Outlook y Outlook Express), redireccionando a los usuarios a un sitio específico dedicado a tarjetas de felicitaciones electrónicas virtuales.
Antes de instalarse en el sistema, el gusano, simulando ser un programa legítimo, despliega un mensaje solicitando la aprobación del usuario para instalarse. Cuando el usuario acepta la instalación, procede a hacerlo.
Luego de ejecutarse, el programa abre el Internet Explorer y se conecta al sitio:
http://bluefoxmedia.com/card/sample.htm
Luego procede a enviarse a los primeros 100 contactos de la libreta de direcciones del Outlook.
Los mensajes están generados con una combinación de los siguientes asuntos y textos:
Asuntos:
[nombre]
- this is a funny greeting card.
[nombre]
- I thought you would enjoy this greeting card.
[nombre]
- you should enjoy this funny greeting card.
Textos:
[nombre],
This greeting card made me laugh,
I thought you would enjoy it.
http://bluefoxmedia.com/card/sample.htm
[nombre],
Check out this fun greeting card I found,
it’s hilarious.
http://bluefoxmedia.com/card/sample.htm
[nombre],
This greeting card made my day I hope you enjoy it.
http://bluefoxmedia.com/card/sample.htm
Donde [nombre]
corresponde al nombre del destinatario tal como figura en la libreta de direcciones.
Este es un ejemplo de un mensaje creado por el gusano:
Para:
luisc@dominio.com
Asunto:
Luis - you should enjoy this funny greeting card.
Texto:
Luis,
This greeting card made my day I hope you enjoy it.
http://bluefoxmedia.com/card/sample.htm
El sitio Web indicado en el mensaje, modifica la página de inicio del Internet Explorer para conectarse a la siguiente dirección:
http://www.rankmypix.com
Luego, el virus despliega una ventana con los botones [Yes]
o [No], y le pregunta al usuario si desea instalar el programa
'Greeting Cards' en el sistema. Si el usuario pulsa en
[Yes], entonces procede a descargar e instalar dicho programa.
Durante el proceso de instalación, se muestra un mensaje (disclaimer) avisando que el programa accederá a la libreta de direcciones de Microsoft Outlook para enviar los mensajes. La instalación continúa sólo si el usuario acepta las condiciones.
Este mensaje, puede llevar a confundir a muchos usuarios, debido a que existe un HOAX (ver VSA #129, Hoax: Una tarjeta virtual para Usted,
http://www.vsantivirus.com/tarjeta.htm), que justamente advierte sobre la existencia de un virus altamente destructivo enviado por correo en una supuesta tarjeta de felicitaciones. Este gusano, no posee rutinas destructivas, salvo su capacidad de reproducirse.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
4. Repare los archivos detectados como infectados
5. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Referencias:
VSantivirus No. 129 - 14/nov/00
Hoax: Una tarjeta virtual para Usted
http://www.vsantivirus.com/tarjeta.htm
VSantivirus No. 300 - 4/may/01
VBS/vbswg2.C. Una tarjeta virtual que no es un HOAX
http://www.vsantivirus.com/vbswg2-c.htm
Modificaciones:
14/jul/02 - Alias: W32.Wabbin, W32/Wabbin, W32/Wabbin@mm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|