VSantivirus No. 390 - Año 5 - Jueves 2 de agosto de 2001
Nombre: W32/DrPimp.A@mm
Tipo: Gusano de Internet
Alias: Win32.DrPimp.A@mm
Tamaño: 387,584 bytes
Fecha: 1/ago/01
Escrito en Delphi, este gusano (con mensajes en portugués), es capaz de propagarse a través del correo electrónico, utilizando para ello los contactos de la libreta de direcciones de Windows
(WAB, Windows Address Book) y el Outlook Express.
El gusano llega en alguno de los siguientes mensajes (note que
incluso existe uno que simula ser una utilidad para limpiar el
virus SirCam):
Asunto: Apresentacao PowerPoint
Texto: Por favor, de uma olhada nesta apresentacao, acho que esta boa mas gostaria da sua opniao.
Abratos
Archivo adjunto: trabalho1.exe
Asunto: Motivo
Texto: Realmente, eu nao esperava isso de voce, este anexo me provou que tipo de pessoa voce T.
Quero ver vocO negar isso...
Archivo adjunto: denuncia.exe
Asunto: quem diria...
Texto: Heheh, quem diria hein?
Voce nao ficou nada bem neste Slide..
Beijos na bunda,
Archivo adjunto: Slide.exe
Asunto: Urgente
Texto: Preciso de sua ajuda urgente, por favor, segue em
anexo todos os passos...
Desde ja, muito obrigado!
Archivo adjunto: flash.exe
Asunto: Abra os olhos
Texto: Voce precisa ver isso...
Desculpe, mas nao posso aceitar traitpo.
Espero que as fotos neste Slide ajude a abrir seus olhos!!
Archivo adjunto: confidencial.exe
Asunto: Fw: Novo Virus na Internet, conhecido como "Dr. Pimpolho".
Texto:
>>Atentao:
>>Cuidado com o novo virus conhecido como "Dr. Pimpolho"
>>que esta sendo espalhado pela internet traves de e-mails.
>>Se voce receber um e-mail de alguma pessoa
>>desconhecida NAO ABRA!!!!
>>Utilize o programa da Symantec em anexo para verificar se voce esta infectado
>>e para remover este terrivel virus!
>>Passe este e-mail para todos de sua lista, vamos eliminar de vez
>>o terrivel virus "Dr. Pimpolho".
Archivo adjunto: anti_pimpolho.exe
Asunto: Remova o virus SirCam
Texto: Oi, estou recebendo varios e-mails seus com virus.
Voce pode estar infectado com o SirCam, remova ele do seu micro para que ele nao fique se enviando a toda a sua Lista de Contatos.
Para remover T so executar o programa que estou te enviando.
Ate Logo
Archivo adjunto: remove_sircam.exe
Cualquiera de estos adjuntos que se intente abrir, activará al gusano, el cuál muestra un mensaje falso, a los efectos de engañar al usuario. Pero mientras tanto, ya se produjo la infección:
Fatal Error
Stack overflow.
Reboot your system and try again.
[ OK ]
Mientras se muestra el mensaje, el gusano se copiará en el directorio de Windows:
C:\Windows\windebug.exe
También se copiará en el raíz de C:\ con uno de los siguientes nombres, seleccionado al azar:
C:\trabalho1.exe
C:\denuncia.exe
C:\Slide.exe
C:\flash.exe
C:\confidencial.exe
C:\anti_pimpolho.exe
C:\remove_sircam.exe
El gusano, también crea esta clave en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Debug Manager = C:\Windows\windebug.exe
Esto hace que se ejecute cada vez que se reinicia Windows.
Además crea esta otra clave, para almacenar información necesaria para su funcionamiento:
HKCU\Software\Microsoft\SystemMenu
Una vez activo, el gusano intentará enviar sus mensajes infectados a los contactos de la libreta de direcciones de Windows, utilizando los datos de la configuración del usuario infectado.
La conexión se hace directamente al servidor SMTP (Simple Mail Transfer Protocol). Este procedimiento no es visualizado por el usuario, ya que además, en ningún momento se utilizan las carpetas (Elementos enviados o Bandeja de salida), del Outlook Express.
El mensaje enviado es uno de los vistos anteriormente, cuyo adjunto es tomado desde la copia en el raíz de la unidad
C:.
Como sacar el virus de un sistema infectado
Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.
Luego, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:
Microsoft Debug Manager
"C:\Windows\windebug.exe"
4. Pinche sobre el nombre "Microsoft Debug
Manager" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
SystemMenu
6. Pinche sobre la carpeta "SystemMenu" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
9. Busque y borre los archivos siguientes (si algunos de ellos existen en su computadora, en las siguientes ubicaciones):
C:\Windows\windebug.exe
C:\trabalho1.exe
C:\denuncia.exe
C:\Slide.exe
C:\flash.exe
C:\confidencial.exe
C:\anti_pimpolho.exe
C:\remove_sircam.exe
Fuente: Central Command
(c) Video Soft - http://www.videosoft.net.uy
|