|
VSantivirus No. 1480 Año 8, domingo 25 de julio de 2004
W32/Gift.B. Muestra mensaje "File data corrupt:"
http://www.vsantivirus.com/gift-b.htm
Nombre: W32/Gift.B
Tipo: Gusano de Internet
Alias: I-Worm.Gift.b, I-Worm.Gift.B, TR/IWorm.MP.Virus, W32.Gift.32768, W32/Anaphyla-B2, W32/Gift.32768, W32/Gift.b, W32/Gift@MM, W32/Gift-B, W32/HLLC.A@mm, Win32.Gift.32768, Win32.Gift.32768.C, Win32.Gift.B@mm, Win32.HLLM.Gift.32768, Win32/Gift.A@mm, Win32/Gift.B, Win32/IRCBot.Worm, Win32/Rundllw32.Worm, Win32:Anaphyla [Wrm], Worm.Gift.B, WORM_GIFT.B
Fecha: 23/jul/04
Plataforma: Windows 32-bit
Tamaño: 32,768 bytes
Gusano que se envía en forma masiva vía correo electrónico.
Cuando se ejecuta, el gusano examina si ya está instalado en el sistema actual. Si no lo está, muestra una ventana con el siguiente mensaje:
Install error
File data corrupt:
probably due to bad data transmission or bad disk access.
[ OK ]
Se copia en la siguiente ubicación:
c:\windows\rundllw32.exe
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
RUN = c:\windows\rundllw32.exe
En Windows 95, 98 y Me, modifica el archivo C:\WINDOWS\WIN.INI:
[windows]
run = c:\windows\rundllw32.exe
El gusano escanea archivos en la carpeta de "Mis documentos" y la actual, usando como filtro los comodines ".HT*" y "*.ASP", para obtener direcciones electrónicas a las cuáles enviarse.
Utiliza funciones MAPI (Messaging Application Programming Interface), para gestionar el envío de los mensajes. Estos varían en cada computadora infectada, y los que se muestran aquí, solo son algunos ejemplos como referencia:
Asunto: [vacío]
Datos adjuntos: Setup.exe
Texto del mensaje:
Hello, Take a look to this little app!
Asunto: IE5 security patch
Datos adjuntos: Ie5Patch.exe
Texto del mensaje:
This is the security patch you asked for...
i don't know if is the last version but works.
Asunto: Improve your site
Datos adjuntos: js.exe
Texto del mensaje:
Your page is nice. Test this js scripts
and tell me what do you think.
Si el gusano se ejecuta un día 5 de cualquier mes del año, muestra una ventana con el siguiente mensaje:
I-Worm.RunDllw32 Activated
This is a I-Worm coded by Bumblebee\29a!
Gretingz to all 29a members ;)
Reparación manual
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\rundllw32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
6. Pinche en la carpeta "Windows" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre" y bórrela:
RUN = c:\windows\rundllw32.exe
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Modificar WIN.INI
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo.
Por ejemplo:
[Windows]
run = c:\windows\rundllw32.exe
Debe quedar como:
[Windows]
run =
3. Grabe los cambios y salga del bloc de notas.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|