| |
VSantivirus No. 498 - Año 6 - Domingo 18 de noviembre de 2001
Nombre: W32/Ciosor.A
Tipo: Gusano de Internet
Tamaño: 107 Kb
Alias: I-Worm.Ciosor, W32.Ciosor.A@mm, Win32.HLLM.Gracioso,
Win32.MueveRaton
Este gusano se propaga como un archivo adjunto a un mensaje de correo electrónico en español. Los mensajes poseen varios temas, pero básicamente, suelen ser la advertencia de un conocido que dice que tenemos un virus en nuestro sistema, y para eliminarlo, gentilmente nos envía una cura.
Recordemos que bajo ningún concepto debemos abrir archivos adjuntos que no solicitamos, aún de conocidos. Este virus nos muestra claramente el peligro de hacerlo.
Aún en el caso de estar infectado realmente por algún otro virus, jamás acepte la cura que un conocido le envía por correo. Prefiera y solicite en todo caso, la dirección de una herramienta adecuada, y proceda a bajarla usted de Internet.
Descripción
Una de las características más visibles de un sistema infectado por este virus, es que el puntero del ratón se mueva al azar por toda la pantalla, sin respetar los movimientos del usuario.
Se trata de un ejecutable en formato PE (Win32), que ha sido programado en Microsoft Visual Basic 5. Para que el mismo pueda ejecutarse, es necesario tener instalada la librería Visual Basic Virtual Machine run-time
(MSVBVM50.DLL). Este archivo no se propaga junto con el gusano, pero puede ser instalado previamente por algún otro programa. Ni Windows 95 o 98 la cargan, pero Windows Me la incluye en una instalación normal (junto a MSVBVM60.DLL).
El gusano se activa si el usuario hace doble clic sobre el adjunto. Si ello ocurre, entonces el virus se instala en el sistema.
El mensaje infectado posee diferentes textos y el adjunto diferentes nombres, seleccionados al azar de las siguientes opciones y combinaciones:
Asuntos:
- Cuidado con los virus!!!
- Tienes un virus!!!
- Me lo baje de Internet
- Una coña de la red
Texto del mensaje:
- Saludos
Me ha llegado el virus Nimda, de tu ordenador, ya es la segunda vez
Pasa la vacuna que te envío, de Norton Antivirus
¡Y ten mas cuidado la próxima vez!
- Saludos
Me ha llegado el virus Magistr, de tu ordenador, ya es la segunda vez
Pasa la vacuna que te envío, de Norton Antivirus
¡Y ten mas cuidado la próxima vez!
- Saludos
Me ha llegado el virus Sircam, de tu ordenador, ya es la segunda vez
Pasa la vacuna que te envío, de Norton Antivirus
¡Y ten mas cuidado la próxima vez!
- Un Saludo
Por Favor, revise su ordenador, me ha enviado el virus Nimda
Le envío la vacuna facilitada por Norton Antivirus
- Un Saludo
Por Favor, revise su ordenador, me ha enviado el virus Magistr
Le envío la vacuna facilitada por Norton Antivirus
- Un Saludo
Por Favor, revise su ordenador, me ha enviado el virus Sircam
Le envío la vacuna facilitada por Norton Antivirus
- Un Saludo
Hola, perdona, que te moleste, pero me has enviado un virus, el Nimda
Te envío la vacuna de panda, ¡Ten mas cuidado la
próxima vez!
- Un Saludo
Hola, perdona, que te moleste, pero me has enviado un virus, el Magistr
Te envío la vacuna de panda, ¡Ten mas cuidado la próxima vez!
- Un Saludo
Hola, perdona, que te moleste, pero me has enviado un virus, el Sircam
Te envío la vacuna de panda, ¡Ten mas cuidado la próxima vez!
- Hola
Te envío un fichero que me bajado de Internet, es una broma. mueve él Ratón por toda la pantalla. No se quita ni pulsando control+alt+supr,
Jeje, al final hay que reiniciar.
Nombres del archivo adjunto (107 Kb):
- MueveRaton.exe
- AntiMagistr.exe
- AntiNimda.exe
- AntiSircam.exe
Para enviar los mensajes infectados, el gusano examina los archivos con extensiones
*.EML, *.NWS, y *.DBX, obteniendo de allí las direcciones de sus víctimas, siendo incluso capaz de eludir el texto agregado a algunas direcciones electrónicas
(usuario@SPAMservidor, usuario@QUITAR_ESTOservidor, etc.), muy común en las news como protección contra los robots que recogen direcciones válidas para luego enviarles a estas correo basura (SPAM).
Utiliza el servidor SMTP de Terra España (smtp.terra.es) para enviar los mensajes infectados.
Cuando se instala el gusano se copia a si mismo en la carpeta System de Windows
(C:\Windows\System por defecto), con el nombre REGWIZ.EXE, acción que sobrescribe al auténtico REGWIZ.EXE (Microsoft Registration Wizard), el asistente para la registración en línea de Windows.
También modifica la siguiente rama del registro, para ejecutarse en forma automática en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
regwiz = C:\Windows\System\regwiz.EXE
Los atributos del archivo REGWIZ.EXE (que es el propio código del gusano), son puestos como de solo lectura (+R), oculto (+H) y sistema (+S).
Si el usuario ejecuta este archivo, se despliega el siguiente mensaje de error falso:
no es una aplicación Win32 válida
[ OK ]
El gusano, también agrega al archivo del sistema
C:\MSDOS.SYS, la siguiente línea:
BootKeys=0
Esto deshabilita en sistemas Windows 9x, el uso de las teclas F4, F5, F6, F8 y otras, durante el proceso de booteo de la computadora.
Una vez activo, el gusano permanece en memoria como un proceso oculto (un servicio del sistema), no visible como tarea al pulsar CTRL+ALT+SUPR.
Otra de las características visibles del virus, es que puede dejar inutilizable al ratón, haciendo que su cursor se mueva al azar por toda la pantalla.
La siguiente rama del registro es creada por el gusano, y usada como un contador interno:
HKCU\Software\VB and VBA Program Settings\regwiz\config
ejec = [valor]
Este [valor] es un número que aumenta en cada ejecución del virus. Cuando este número llega a
75, se modifica la siguiente clave del registro, acción que desactiva el salvador de pantallas:
HKCU\Control Panel\Desktop\
ScreenSaveActive = 0
Luego, el virus cierra Windows y reinicia la computadora.
Como sacar el virus de un sistema infectado
Para eliminar el virus manualmente, siga estos pasos:
1. Primero ejecute un antivirus al día.
2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba
REGEDIT y pulse Enter.
3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run
4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
regwiz "C:\Windows\System\regwiz.EXE OutlookProfile"
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
VB and VBA Program Settings
regwiz
6. Pinche en la carpeta "regwiz" y pulse en SUPR para borrarla. Confirme el borrado.
7. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios. Luego reinicie su computadora (Inicio, Apagar el sistema, Reiniciar), y ejecute nuevamente un antivirus al día.
Los siguientes cambios no son críticos, pero se aconseja hacerlos para volver a la normalidad el sistema:
1. Para poder visualizar archivos con atributos de "Oculto", proceda así:
-
En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver" de esa opción, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. Y ya que está allí, también DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
2. Desde Explorador de Windows, busque en C:\ el archivo Msdos.sys. Pinche en él con el botón derecho, Propiedades, y desmarque en Atributos, la opción "Solo lectura".
3. Con el botón derecho sobre Msdos.sys, seleccione "Abrir con", y seleccione NOTEPAD
4. Modifique la línea "BootKeys=0" por
"BootKeys=1" (o borre la línea "BootKeys=0")
Para recuperar el archivo REGWIZ.EXE original proceda como se indica en "Cómo recuperar archivos con SFC en Windows 98 y Me":
http://www.vsantivirus.com/faq-sfc.htm
Fuente: Kaspersky Labs
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
