Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Coconut.A. Muestra un juego e infecta archivos
 
VSantivirus No. 1108 Año 7, Domingo 20 de julio de 2003

W32/Coconut.A. Muestra un juego e infecta archivos
http://www.vsantivirus.com/coconut-a.htm

Nombre: W32/Coconut.A
Tipo: Infector de ejecutables
Alias: PE_CONUT.A, W32.HLLP.Conut@mm, I-Worm.Conut, Win32/Cotan.A@mm, Win32.NET.Coconut, W32/Coconut, Win32:Kokon, W32/Coconuts
Tamaño: 200,704 bytes
Plataforma: Windows 32-bit
Fecha: 14/jul/03

Este virus infector de archivos, solo se ejecuta en plataformas de trabajo Microsoft .NET, y está escrito en C#.

Infecta al azar archivos con extensión .EXE de la carpeta de Windows, basado en un número randómico generado a partir de un juego (The Coconut Game), que muestra las figuras de un conocido hacker belga, Frans Devaere (ReDaTtAck), y Graham Cluley de Sophos Antivirus.

El virus libera un script que se encarga de enviar al propio virus a toda la lista de contactos del Outlook (hasta un máximo de 3,000 direcciones).

El mensaje enviado tiene estas características:

Asunto: The Coconut Game
Datos adjuntos: coconut.exe

Texto:
This game made me feel like I was on a vacation :)

Cuando se ejecuta, el virus se copia a si mismo en forma temporal al siguiente archivo:

c:\tmpvir.exe

Luego copia 200,704 bytes del código original a este archivo:

c:\coconut.exe

Luego borra TMPVIR.EXE.

Después despliega una pantalla con el mencionado juego, en donde se muestran los gráficos de Cluley y Devaere, y el botón [Throw!].

Cuando este botón es pulsado, se genera al azar, uno de los siguientes mensajes:

  • You missed! You earned 0 points.
  • You hit Frans Devaere! You earned 1 point.
  • You hit Graham Cluley! You earned 2 points.

La tercera vez que se pulsa ese botón, se inicia la rutina de infección, y aparece una ventana con el siguiente mensaje:

In total, you have "X" point(s). Therefore, I have
infected 2 files on your computer. To be able to
run these files, you'll first have to play this
game again.
Have a nice day,

Gigabyte [Metaphase VX Team]
[ OK ]

El número de archivos infectados, depende del puntaje que se obtenga (se genera al azar al pulsar el botón [Throw!), y es mostrado realmente en el mensaje (donde aparece la "X").

El máximo número de archivos infectados pueden ser 6. A esta cantidad se le resta el puntaje obtenido. Por ejemplo, si el puntaje es cero, la cantidad de archivos infectados será 6 (6-0). Si se obtiene un puntaje de 4, se infectan 2 archivos (6-4). Con 6 puntos, no se infecta ningún archivo (6-6).

El virus infecta archivos con extensión .EXE en el directorio de Windows, agregando el archivo original al final del virus. Para ello copia el archivo original como HOSTCOPY.EXE en la misma carpeta. Luego, se copia él mismo sobre el archivo original, borrándolo, y finalmente agrega HOSTCOPY.EXE al final de si mismo.

El virus no infecta archivos .EXE que contengan cierto carácter (la letra "g") en una posición determinada de su código (offset 0x12).

Cada vez que un archivo infectado es ejecutado, primero se muestra la ventana con el juego mencionado. Después se ejecuta el original, copiándolo antes a la carpeta de archivos temporales (TEMP) con el nombre de TEMP.EXE. Finalmente borra este archivo y permanece residente en memoria.

Para enviarse por correo, libera el siguiente script (VBS), de 685 bytes:

c:\mail.vbs

Luego el virus examina si existe C:\COCONUT.EXE. Si no existe, ejecuta el script para iniciar la propagación vía correo electrónico, en un mensaje con las características ya vistas.

El archivo MAIL.VBS se borra a si mismo al finalizar el envío de hasta un máximo de 3,000 direcciones de la libreta del Outlook y Outlook Express.

El virus se ejecuta en plataformas Windows donde se encuentre instalado Microsoft .NET.

En su código puede encontrarse el siguiente texto:

Win32.HLLP.Coconut (c) 2003 Gigabyte [Metaphase VX Team]


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano.


En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"

3. En "Nombre" ingrese (o corte y pegue), lo siguiente:

HOSTCOPY.EXE; TEMP.EXE; TEMPVIR.EXE

4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione "Todos los archivos y carpetas"

3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:

HOSTCOPY.EXE; TEMP.EXE; TEMPVIR.EXE

4. Verifique que en "Buscar en:" esté seleccionado "C:"

5. Pinche en "Más opciones avanzadas"

6. Seleccione "Buscar en carpetas del sistema"

7. Seleccione "Buscar en subcarpetas"

8. Haga clic en "Búsqueda" y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

11. Reinicie su computadora


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS