|
VSantivirus No. 1019, Año 7, Martes 22 de abril de 2003
W32/Coronex. Hace alusión a la pulmonía atípica (SARS)
http://www.vsantivirus.com/coronex.htm
Nombre: W32/Coronex
Tipo: Gusano de Internet
Alias: I-Worm.Coronex, W32/Coronex@MM, I-worm.Coronex@mm, W32/Sars@mm, W32.Coronex@mm
Fecha: 21/abr/03
Plataforma: Windows 32-bit
Tamaño: 12,288 bytes
Este gusano, escrito en assembler, se propaga a través de Internet, en mensajes de correo electrónico con un adjunto infectado.
Los mensajes hacen alusión al SARS (siglas en inglés del Síndrome Respiratorio Agudo Severo), enfermedad conocida como pulmonía atípica.
Cuando se ejecuta se copia a si mismo en la carpeta "C:\My Downloads" a partir de lo cuál puede utilizar otra forma de propagación, vía programas de intercambio P2P como KaZaa, BearShare, eDonkey, Morpheus, etc..
El archivo, un ejecutable en formato PE (Portable Executable), se activa solo si el usuario hace doble clic sobre él.
Cuando ello ocurre, el gusano se copia a si mismo en las siguientes ubicaciones:
C:\Windows\corona.exe
También modifica el registro, para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PC-Config32 = C:\Windows\corona.exe
En ocasiones puede agregar este valor:
PC-Config32 = -A
"C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
El procedimiento de instalación contiene algunos errores y en ocasión no puede instalarse. A pesar de ello, si puede activar su rutina de propagación.
Para enviar los mensajes infectados, el gusano utiliza una conexión directa al servidor SMTP "ns.execulink.com".
Para obtener la lista de destinatarios, el gusano examina la base de datos WAB (Windows Address Book), la libreta de direcciones de Windows.
Esta rutina se ejecuta una vez en cada hora (exactamente cada 1 hora, 1 minuto, 1 segundo).
Los mensajes infectados poseen diferentes remitentes, asuntos y textos, y el adjunto (el propio gusano), diferentes nombres. Para encubrir su origen, las direcciones en el campo "De:" son falsas, usándose la técnica conocida como "email spoofing":
Versión 1
De: sars@hotmail.com
Asunto: SARS
Texto: Severe Acute Respiratory Syndrome
Datos adjuntos: sars.exe
Versión 2
De: sars2@hotmail.com
Asunto: SARS
Texto: I need your help
Datos adjuntos: corona.exe
Versión 3
De: corona@hotmail.com
Asunto: SARS
Texto: Virus Alert!
Datos adjuntos: virus.exe
Versión 4
De: virus@yahoo.com
Asunto: Corona Virus
Texto: honk kong
Datos adjuntos: hongkong.exe
Versión 5
De: deaths@china.com
Asunto: deaths virus
Texto: bye
Datos adjuntos: deaths.exe
Versión 6
De: virus@china.com
Asunto: SARS
Texto: SEE Ya
Datos adjuntos: sars2.exe
Versión 7
De: virus2@china.com
Asunto: SARS
Texto: SARS Corona Virus
Datos adjuntos: cv.exe
El gusano se copia también en la carpeta "C:\My Downloads" usando los siguientes nombres:
Age Of Mythology.exe
Battlefield 1942 (full).exe
Black Hawk Down (full).exe
Command & Conquer: Generals.exe
Cossacks Full Version.exe
Dark Age of Camelot.exe
Doom 3.exe
Grand Theft Auto 3 (full).exe
Jedi Knight II.exe
Master Of Orion 3.exe
Medel Of Honor: Allied Assault.exe
Oni full.exe
Quake 3 Full Version.exe
Rainbow 6 Full.exe
Return to Castle Wolfenstien (Full).exe
Starcraft full.exe
The Lord of the Rings.exe
The Sims: Unleashed.exe
Tribes 2 (full).exe
Ultima Online.exe
Unreal 2: The Awakening (full).exe
Unreal.exe
Warcraft III Full.exe
White and Black.exe
Estos archivos quedan disponibles para numerosas aplicaciones de intercambio de archivos entre usuarios (Peer-To-Peer).
Una particularidad de este gusano (de solo 12 Kb), es que luego de copiarse con esos nombres, agrega varios megabytes (hasta 270 Mb o más) al tamaño total del archivo, para engañar al usuario que piensa estar descargando un programa completo.
Si no existe la carpeta "C:\My Downloads", el gusano se copia en la carpeta actual (donde se ejecutó).
La primera vez que se ejecuta, el gusano muestra una ventana con el siguiente mensaje:
Coronex also sets the Internet Explorer StartPage
(defualt page) to the World Health Organization's
Web page dedicated to the SARS virus:
http://www.who.int/csr/don/2003_04_19/en
Return to the Virus Information Library
Entonces, el gusano modifica el registro para cambiar la página de inicio del Internet Explorer:
HKLM\Software\Microsoft\Internet Explorer\Main
Start Page = http://www.who.int/csr/don/2003_04_19/en
Esto hará que cada vez que el Internet Explorer se inicie, intente conectarse a una página de la Organización Mundial de la Salud dedicada a la enfermedad.
Cada vez que la computadora se reinicie, una ventana con el siguiente texto, será mostrada (con el signo de error o sin él, ver imágenes):
SARS Virus
corona virus
|
|
Reparación manual
Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows\corona.exe
C:\My Downloads\Age Of Mythology.exe
C:\My Downloads\Battlefield 1942 (full).exe
C:\My Downloads\Black Hawk Down (full).exe
C:\My Downloads\Command & Conquer: Generals.exe
C:\My Downloads\Cossacks Full Version.exe
C:\My Downloads\Dark Age of Camelot.exe
C:\My Downloads\Doom 3.exe
C:\My Downloads\Grand Theft Auto 3 (full).exe
C:\My Downloads\Jedi Knight II.exe
C:\My Downloads\Master Of Orion 3.exe
C:\My Downloads\Medel Of Honor: Allied Assault.exe
C:\My Downloads\Oni full.exe
C:\My Downloads\Quake 3 Full Version.exe
C:\My Downloads\Rainbow 6 Full.exe
C:\My Downloads\Return to Castle Wolfenstien (Full).exe
C:\My Downloads\Starcraft full.exe
C:\My Downloads\The Lord of the Rings.exe
C:\My Downloads\The Sims: Unleashed.exe
C:\My Downloads\Tribes 2 (full).exe
C:\My Downloads\Ultima Online.exe
C:\My Downloads\Unreal 2: The Awakening (full).exe
C:\My Downloads\Unreal.exe
C:\My Downloads\Warcraft III Full.exe
C:\My Downloads\White and Black.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
PC-Config32
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo".
6. Pinche en "Aplicar" y en "Aceptar".
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|