Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Eira.A. Simula ser un demo de Quake4 y borra archivos
 
VSantivirus No. 509 - Año 6 - Jueves 29 de noviembre de 2001

Nombre: W32/Eira.A
Tipo: Gusano y Caballo de Troya
Alias: W32.Eira.57344@mm, W32/Eira.A@mm, I-Worm.Quamo
Fecha: 28/nov/01
Tamaño: 57,344 bytes

Este gusano simula ser un demo del conocido juego Quake4, pero en realidad esconde un troyano capaz de borrar archivos de nuestro disco, y de enviarse masivamente vía e-mail a todos nuestros contactos en la libreta de direcciones.

El gusano es un archivo EXE llamado quake4demo.exe, de unos 56 Kb, que simula ser un instalador de una demo del juego Quake4.

Cuando el usuario lo ejecuta, aparece una ventana con una imagen del logo del juego, y las siguientes características:

Rocket Arena 3

Welcome to Rocket Arena 3

This program will install Rocket Arena 3 into your Quake4 directory.

It will also install the full version of Quake4

Once instaled, you can play Rocket Arena 3 by launching it
with the icon on the Start Menu.

[    Next    ]  [   Cancel   ]

Si se selecciona [ Next ], el gusano no hace nada.
Si se selecciona [ Cancel ], entonces se ejecuta el virus.

Note que las opciones están invertidas, de modo que quien desconfíe de la instalación, y seleccione cancelar, en realidad lo está ejecutando.

Cuando el gusano se ejecuta, el mismo copia en la carpeta de Windows los siguientes archivos:

C:\Windows\Quake4demo.exe 
C:\Windows\Honey.exe 
C:\Windows\Setup.exe

También crea la carpeta C:\Eira y se copia allí con el nombre de Quake4demo.exe.

También se copia al raíz del disco F (si este existe), con el mismo nombre: Quake4demo.exe.

Luego, el gusano se envía a todos los contactos de la libreta de direcciones del Outlook, utilizando varias combinaciones de asunto, texto y nombre de archivo adjunto, seleccionados al azar de las siguientes listas:

Asunto:

  • Something very special
  • I know you will like this
  • Yes, something I can share with you
  • Wait till you see this!
  • A brand new game! I hope you enjoy it

Texto:

  • Is Internet that safe?
  • Check it out
  • Hey you, take a look at the attached file. You won't believe your eyes when you open it!
  • You like games like Quake? You will enjoy this one.
  • Did you see the pictures of me and my battery operated boyfriend?
  • My best friend
  • This is something you have to see!
  • Till next time

Nombre archivo adjunto:

  • Quake4demo.exe
  • Honey.exe
  • Setup.exe

Los archivos con extensión .EXE que se encuentren en la misma carpeta donde esté el gusano, serán sobrescritos con un nuevo archivo con el mismo nombre pero de solo 199 bytes, que lo único que contiene es el siguiente texto:

You've didn't protected your files well enough
Let this be a lesson! Never trust someone else
eiram 1999-2001

El registro es modificado luego para ejecutar el gusano automáticamente en cada reinicio de windows.

Si el gusano se ejecutó, y usted sale de Windows o reinicia el sistema, puede llegar a mostrarse la pantalla ya vista antes. Si el usuario pulsa en el botón [ Cancel ] el gusano volverá a ejecutarse.

Para eliminar el virus de un sistema infectado, ejecute uno o dos antivirus al día, y borre los archivos identificados como W32/Eira o similar.

Tenga en cuenta que los archivos .EXE que hayan sido sobrescritos, no pueden ser limpiados, ya que han sido suplantados, debiéndose proceder a su restauración desde un respaldo, o a una reinstalación de Windows.


Fuente: Symantec

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS