Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Enegg.A. Datos adjuntos: "Cynthia.exe"
 
VSantivirus No. 1110 Año 7, Martes 22 de julio de 2003

 W32/Enegg.A. Datos adjuntos: "Cynthia.exe"
http://www.vsantivirus.com/enegg-a.htm

Nombre: W32/Enegg.A
Tipo: Gusano de Internet
Alias: W32.Enegg@mm, I-Worm.Enegg, Win32/Enegg.A, W32/Cynthia, Ejemplillo, W32/Enegg, Win32.Enegg.A, Win32/Enegg.Worm
Fecha: 21/jul/03
Tamaño: 81,920 bytes
Plataforma: Windows 32-bit

Este gusano, escrito en Visual Basic, se envía masivamente a través del correo electrónico a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, e intenta borrar programas de seguridad instalados en la máquina infectada, como antivirus, cortafuegos, etc.

Sus mensajes están en español, y tienen las siguientes características:

Asunto: [vacío, o uno de los siguientes]
  • - revisalo ok
  • actualizate de una vez gogoogogogogo
  • Alertas de virus!!
  • como estas... te env
  • crack
  • cuidado!!
  • cynthia fotos
  • Cynthia_fotos
  • Fotos de Cynthia
  • fotos_De_Cynthia
  • fuerza_hotmail
  • Fwd: huevos poetas
  • Fwd: Msn_Ghost
  • Fwd: msn_ghost
  • Hackea hotmail
  • Hackear hotmail
  • hackear_hotmail
  • Hacker Tutoriales aplicacion
  • Hackers Tutorials
  • Hacking hotmail
  • internet_explorer_parche
  • Kaspersky AVP Patches
  • McAfee VirusScan Patches
  • messenger 6.5 v.final
  • msn_ghost
  • mxpx
  • mxpx screensaver
  • nada mas!!!prueba este tutorial
  • Norton New Patches
  • Norton_parches
  • Parche
  • parche_Seguridad_explorer
  • parches
  • Parches de microsoft
  • Parches para kaspersky AVP
  • Parches para McAfee VirusScan 2003
  • Parches para Norton 2003
  • Re: El archivo...
  • Re: messenger 6.5
  • Re: MsN 6.5 final
  • Re: mxpx_screensaver
  • revisalo ok
  • screensaver
  • tan solo pruebalo
  • Tutoriales hackers

Texto del mensaje: [uno de los siguientes]

mira las fotos de mi flaka jeje.solo para q la
conoscas esta compilado ciaoo

ah salido un nuevo virus q tienes q tener mucho
cuidado te adjunto el parche de seguridad adios

descomprime el exe y ejecutalo en la pc para q
te cuides del nuevo virus chao

aca estan lsoparches para tu antivirus el norton
2003 bueno hablamos adios ;)

parches para kaperskyusalos ya adios

oye!! aca esta hackea hotmail de una vez te mando
el programa chao

manual del buen hacker para hotmail recomendado!!!

Hola!!!, por ah dicen que hay alertas para el virus
DeathLetter, as que ejecuta estos parches para que
no seas infectado :)

te mando las fotos de mi novia cynthia para q la
conoscas ok? estan comprimidas adios!!

oye ah salido un nuevo virus asi q aca te mando
algo para q te cuides ok?

Muy buen tutorial para el hack te lo recomiendo

estos huevos poetas son un mate de risa miralos
jajajajja

conversa con gente q no tengas a agregada a tu
msn con el msn_ghost

bravazo este protector de pantalla

mira las fotos de mi Cynthia , te las puse en un
programa

lo ultimooo el messenger 6.5 ponle sonido a
tusmensajes y manda mensajes con voz olvidate de
escribir chaooo

el mejor grupo de punk MXPX te mando un programa
para la pc de este grupazo de punk!!

Nuevo Virus Alerta!!! Dicen por ahi q ah salido
la variante del ultimo virus te mando el parche

descarga el nuevo parche de Microsoft para
9x/Me/2000/NT/XP espara combatir los nuevos virus

Descarga el nuevo parche para Norton antivirus
2003 para 9x/Me/2000/NT/XP

TE MANDO UN PROGRAMA PARA SACAR CONTRASE AS
DE HOTMAIL ATRAVEZ DE FUERZA BRUTA ES MEJOR
Q EL BRUTUS HoT

te mando el crack para el Norton Antivirus viene
con la nueva herramienta llamada NORTON GHOST
funciona bajo win 9x/Me/2000/NT/XP ya no tendras
problemas con virus en tu maquina

Hola aca te mando el archivo q me pedistes esta
adjuntado

Como estas... te envio estos tutoriales para que
aprendas a hackear a los que te caen mal y est n
en hotmail. Diviertete!!!

DIVIERTETE!!! te mando el programa para q puedas
hablar con gente qno tengas agregada al Messenger

OYE TEN CUIDADO A SALIDO UN VIRUS MUY
PELIGROSO Q TE FORMATEA EL DISCO DURO TE
MANDO ESTOS PARCHES DE SEGURIDAD DE MICROSOFT

ve las fotos de mi novia Cynthia para q la conoscas,
son solo para t!!! ;)

hola, como estas? oyep aca te mando el programa
para sacar seriales.. de varios programas y haci no
tengas q pagar nada :P me lo dio un amigo

actualizaciond e internet explorer la version
6.5.2 aca esta descargalo bye

Aquí el programa por el que preguntaste te lo mando
y actualzate saludos!! =P

Oye hola... me baje este firewall es chico y muy
bueno te va impedir q extraños se metana tu pc
descargalo y dime como te funciono ok? By;)

jajjajaj el mejor huevo cartoon que eh visto....
buenazo;)

Datos adjuntos (alguno de los siguientes):

Cynthia.exe
Huevos-cartoons.exe
Serial.exe

Cuando se ejecuta el adjunto, crea una carpeta y un archivo de texto:

c:\windows\system\Cynthia\Cynthia.txt

NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).

Luego muestra el contenido del .TXT en el bloc de notas:

Cynthia siempre seras el amor de mi vida
Nunca dejare de amarte ...Princesita
Te amo mucho y voy a estar cerca a ti muy pronto bebe
Bebe Como yo nadie te ah amado te amo =)
Nunca me cansare de decirte q eres la mujer de mi vida
te amo con todo mi corazon bebe y me gustaria q todo el
mundo se entere de lo mucho q te amo eres mi vida y nunca
pero nunca te dejare de amar
Hola este virus no hace nada no te va a formatear nada ni
nada ok? tranquilizese q no es nada malo solo
eh creado este virus para q todo el mundo se entere de lo
mucho q amo a cynthia la amo con todo mi corazon
si tiene algun problema tan solo reinstale su windows pero
le repito no es nada malo =)

Luego, abre una ventana con el siguiente texto (fondo negro y letras verdes):

MxPx!
Nunca me cansare de decirte q eres la mujer de mi vida
te amo con todo mi corazon bebe y me gustaria q todo el
mundo se entere de lo mucho q te amo eres mi vida y nunca
pero nunca te dejare de amar

También despliega las siguientes ventanas de mensajes:

Cynthia dice...
Hola Cynthia te saluda =P !!!
Cynthia te amo!!!!!
[  Aceptar  ]


Cynthia...
CYNTHIA dice: creo q borre algo de tu maquina =P
[  Aceptar  ]


Cynthia
Cynthia eres mi vida TE AMO
CREO Q BORRE ALGO DE CASUALIDA DE TU
PC =( NO BAJES COSAS Q NO SON =p
[  Aceptar  ]


Cynthia
TE AMO CYNTHIAAAAAAAAAAAAAAA
[  Aceptar  ]

El gusano se copia a si mismo en las siguientes ubicaciones:

c:\windows\system\Cynthia.exe
c:\recycled\Cynthia.exe

En ocasiones, puede crear los siguientes archivos, e intenta mostrar otras ventanas de mensajes, las que suelen aparecer corruptas, o no aparecer:

cmd.exe.vbs
msconfig.exe.vbs
sysedit.exe.vbs

Agrega la siguiente entrada en el registro, como indicador de infección:

HKLM\SOFTWARE\Cynthia

Para autoejecutarse en próximos reinicios, crea la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = C:\Recycled\Cynthia.exe

Luego, intenta borrar todos los archivos de las siguientes carpetas, eliminando conocidos antivirus y otras aplicaciones de protección como cortafuegos, etc.:

C:\Archivos de programa\AntiViral Toolkit Pro
C:\Archivos de programa\Command Software\F-PROT95
C:\Archivos de programa\McAfee\VirusScan
C:\Archivos de programa\Norton AntiVirus
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium
C:\Archivos de programa\Panda Software\Panda Antivirus 6.0
C:\Archivos de programa\AnalogX\Script Defender
C:\Archivos de programa\Trend Micro\PC-cillin 2000
C:\Archivos de programa\Trend Micro\PC-cillin 2002
C:\Archivos de programa\AVPersonal
C:\Archivos de programa\Trend PC-cillin 98
C:\Archivos de programa\Perav
C:\Archivos de programa\McAfee\McAfee VirusScan
C:\Archivos de programa\F-Secure\Anti-Virus
C:\Archivos de programa\The Hacker
C:\Archivos de programa\Zone Labs\ZoneAlarm
C:\Archivos de programa\ESET\NOD32
C:\Archivos de programa\McAfee VirusScan Professional Edition 7.0
C:\Archivos de programa\The Hacker 5.5
C:\Archivos de programa\The Hacker
C:\Toolkit\FindVirus

Finalmente genera los mensajes vistos antes, los que envía a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.

El gusano puede borrar los archivos del sistema REGEDIT.EXE y REGEDT32.EXE, por lo que al menos REGEDIT.EXE deberá ser recuperado de un respaldo para poder realizar la eliminación manual editando el registro, como se indica más adelante.


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los programas borrados deberán ser restaurados o vueltos a instalar.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\Cynthia.exe
c:\recycled\Cynthia.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Windows

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Cynthia

5. Pinche en la carpeta "Cynthia" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

29/jul/03 - Alias: Ejemplillo, W32/Enegg
29/jul/03 - Alias: Win32.Enegg.A, Win32/Enegg.Worm
29/jul/03 - Ampliación de descripción




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS