Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat


VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.

W32/ExploreZi-N. "Nueva" versión de destructivo gusano
 
VSantivirus No. 916 - Año 7 - Jueves 9 de enero de 2003

W32/ExploreZi-N. "Nueva" versión de destructivo gusano
http://www.vsantivirus.com/explorezi-n.htm

Nombre: W32/ExploreZi-N
Tipo: Gusano de Internet
Alias: W32/ExploreZip, Explorezip.E, ZippedFiles, I-Worm.ZippedFiles, Zipped_Files, ExploreZip_N, W32/ExploreZip.E, WORM_EXPLORZIP.M, WORM_EXPLOREZIP, Win32.ExploreZip.91048, Win32/ExploreZip.Worm, WORM_Explorzip.M, Worm/ExplorerZip.E, W32/ExploreZi-N, I-Worm.ExploreZip, I-Worm/ExploreZip.F, TROJ_EXPLOREZIP, W32/ExploreZip.gen@M, W32/ExploreZip@M, 
W32/ExploreZip@MM, W95/ExploreZip.worm.210432, Worm.ExploreZip
Plataforma: Windows 32-bits
Tamaño: 91,048 bytes (UPX)
Fecha: 8/ene/03

Este gusano, escrito en Delphi, utiliza para propagarse, programas estandarizados con la interface de programación para aplicaciones que gestionen correo electrónico, MAPI (Messaging Application Programming Interface). Programas como Outlook, Outlook Express, Microsoft Exchange y otros, pueden ser empleados por el gusano para poder enviarse él mismo en forma masiva a todo Internet.

Se trata de una variante comprimida con la utilidad UPX del mismo gusano conocido ya en junio de 1999.

Si programas como el Outlook están activos, el gusano envía una copia de si mismo como respuesta a todo mensaje no leído aún, que encuentre en la bandeja de entrada.

El mensaje contiene el siguiente texto:

Hi [nombre del destinatario] I have received your
email and I shall send you a reply ASAP.
Till then take a look at the attached zipped docs.
bye.

Lo acompaña un adjunto de nombre "ZIPPED_FILES.EXE", que contiene el gusano propiamente dicho (muestra el icono de un archivo ZIP).

Cuando el destinatario hace doble clic sobre este adjunto, el gusano se ejecuta, mostrando una ventana con el siguiente mensaje de error, que solo sirve de camuflaje para su ejecución (el mensaje saldrá también cada vez que se ejecute un archivo infectado):

Error
Cannot open file: it does not appear to be a valid
archive. If this file is part of a ZIP format backup
set, insert the last disk of the backup set and try
again. Please press F1 for help.
[    OK    ]

El gusano se copia entonces en el directorio System de Windows:

C:\Windows\System\Explore.exe

Este archivo también presenta el icono clásico de un archivo comprimido con WinZip (pero no es un archivo ZIP autoextraíble).

"C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Crea también un archivo temporario llamado "Zipped_files.zip", procede a abrirlo utilizando la herramienta WinZip y borrándolo después que el usuario cierra la ventana del WinZip.

Luego modifica el archivo WIN.INI (en Windows 95, 98 y Me), o modifica el registro (en Windows NT, 2000 y XP), para hacer que el gusano se vuelva a ejecutar en cada reinicio de la computadora.

Modificaciones en Win.ini (Win 9x, Me):

[windows]
run = C:\Windows\System\Explore.exe

Modificaciones en el registro (NT, 2000, XP):

HKEY_CURRENT_USER\Software\Microsoft
\WindowsNT\CurrentVersion\Windows

Run = C:\WINNT\System32\Explore.exe

Agrega una entrada para ejecutar este archivo:

C:\Windows\System\Explore.exe

Inmediatamente después de su ejecución, el gusano busca en cualquier unidad de disco (local o de red), accesible para lectura y escritura, archivos con las siguientes extensiones:

*.ASM   (Fuentes de assembler)
*.CPP   (Fuentes de C++)
*.DOC   (Documentos de Word)
*.XLS   (Documentos de Excel)
*.C      (Fuentes de C)
*.H      (Cabezales de C)
*.PPT   (Presentaciones de PowerPoint)

Los archivos que encuentre, podrán ser abiertos para escritura e inmediatamente cerrados, pero con un tamaño de cero byte. Esto los hace irrecuperables, al perderse su contenido, y la referencia verdadera a los datos (el archivo conserva el nombre pero su contenido es de cero byte).

Este proceso se reitera cada 30 minutos aproximadamente.

El gusano busca otras computadoras que compartan recursos con la actual (no necesariamente con unidades mapeadas), y cada uno de esos sistemas, modifica el archivo WIN.INI para que se ejecute en cada computadora infectada el siguiente archivo:

C:\Windows\_Setup.exe

Esto infecta cada computadora en la red cuando estas se reinician.


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecútelos en modo escaneo, revisando todos sus discos

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro (Windows NT, 2000, XP)

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT o REGEDT32 (según el sistema), y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\WindowsNT
\CurrentVersion
\Windows

3. Pinche en la carpeta "Windows" y en el panel de la derecha busque y borre el contenido de la siguiente entrada:

Run = C:\WINNT\System32\Explore.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[windows]
run = C:\Windows\System\Explore.exe

Debe quedar como:

[windows]
run =

3. Grabe los cambios y salga del bloc de notas.

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS