Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Creepy@MM. Gusano de Internet
 
VSantivirus No. 429 - Año 5 - Lunes 10 de setiembre de 2001

Nombre: W32/Creepy@MM
Tipo: Gusano de Internet
Fecha: 9/set/01
Tamaño: 336,869 bytes

Este gusano se envía en un mensaje infectado a todas las entradas de la libreta del Outlook.

También modifica la página de inicio y la de búsqueda del Internet Explorer.

Al ejecutarse, despliega una ventana MS-DOS con el siguiente texto:

Welkom bij de hypnose truuk! Na deze hypnose sessie, kunt u iedere willekeurige tekst ondersteboven lezen!
Zorg dat u vast een A-4tje met tekst, of een krant, ondersteboven naast u hebt l iggen. Er verschijnen zometeen tien regels met een willekeurige text op hetscherm.
Het kan tot 15 seconden duren voordat de eerste regel verschijnt.
Lees ieder woord totdat het scherm veranderd.
Nu verschijnt een draaiende spiraal. Hierop concentreert u zich gedurende 10 tot 15 seconden.
Kijk hierna snel naar het blad met tekst en zie!! U kunt ondersteboven lezen!!

Grafische elementen worden geinstalleerd, moment aub...

Inmediatamente de esa ventana, aparece una del sistema (Microsoft Exchange), con estas características: 

          Check Names

          Microsoft Exchange does not recognize "[Binary - Size: 4 bytes]
          (000000007)".
                                                                                                        [    OK    ]
                                                                                                        [ Cancel  ]
                                                                                                        [   Help   ]
          Would you like to:
          [x] Create a new address for "[Binary - Size: 4 bytes](000000007)"?
          [  ] Change to
               (No Suggestions)

Pinchando en [ Cancel ], esta pantalla y la ventana DOS anterior, desaparecen. En ese momento el gusano se envía a todos los contactos de la libreta de direcciones, en un mensaje con estas características:

Para:
CCO: [Todos los contactos de la libreta del Outlook]
Asunto: Leuk programmaatje!

Texto:
Hallo , dit is een heel gaaf programmaatje wat ik van
Bert gekregen heb.

Opstarten en gedurende 5 minuten naar de stip kijken
en daarna naar je hand. Creepy!!
Ik heb het op virussen gecheckt dus dat zit wel snor.
Groetjes...

Archivo adjunto: (últimos 8 caracteres del ejecutable).exe

Al ejecutar el adjunto (doble clic sobre él), se produce la infección.

El gusano crea dos claves en el registro para cargarse a si mismo al reiniciarse Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MyApp=[camino y nombre del ejecutable] 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
MyApp=[camino y nombre del ejecutable]

También se crean estas entradas:

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\SafeSites
ie.search.msn.com = http://www.serverbeat.nl/redir.php?http://www.protagonist.nl/redir.php?http://www.uniserver.nl/redir.php?

La página por defecto del Internet Explorer es cambiada por la siguiente:

http://www.de-isp.nl

Los siguientes accesos directos son creados en el escritorio de Windows:

Registreer een domein 1.url
Registreer een domein 2.url
Registreer een domein 3.url
www.activeisp.nl.url
www.de-isp.url
www.nedcomp.nl.url
www.plexusict.nl.url
www.serverbeat.nl.url

Los siguientes enlaces, son creados en la carpeta Favoritos de Windows:

www.activeisp.nl.url 
www.de-isp.url 
www.nedcomp.nl.url 
www.plexusict.nl.url 
www.protagonist.nl.url 
www.serverbeat.nl.url 
\Internet Hosting\Registreer een domein 1.url 
\Internet Hosting\Registreer een domein 2.url 
\Internet Hosting\Registreer een domein 3.url 
\Internet Hosting\www.activeisp.nl.url 
\Internet Hosting\www.de-isp.url 
\Internet Hosting\www.nedcomp.nl.url 
\Internet Hosting\www.plexusict.nl.url 
\Internet Hosting\www.protagonist.nl.url 
\Internet Hosting\www.serverbeat.nl.url

Para limpiar su PC

Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como "W32/Creepy@MM", "Creepy", etc.

Borre con REGEDIT (Inicio, Ejecutar, Regedit y Enter), la clave "MyApp" de la siguiente rama (pinchar en la carpeta "Run" y borrar "MyApp" en la ventana de la derecha):

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

Borre la clave "MyApp" de la siguiente rama (pinchar en la carpeta "RunServices" y borrar "MyApp" en la ventana de la derecha):

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices

Cambie el contenido de la clave "SafeSites" de la siguiente rama (pinchar en la carpeta "SafeSites"):

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Internet Settings
SafeSites

En la ventana de la derecha pinche en "ie.search.msn.com", borre su contenido, y en su lugar agregue el siguiente (incluya el asterisco del final):

http://ie.search.msn.com/*

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia.

Reinicie su computadora y vuelva a ejecutar un antivirus al día.


Fuente: Network Associates
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS