|
VSantivirus No. 2234 Año 10, lunes 4 de setiembre de 2006
HLLP.Winfig.A. Se copia en disquetes como carpeta
http://www.vsantivirus.com/hllp-winfig-a.htm
Nombre: HLLP.Winfig.A
Nombre NOD32: Win32/HLLP.Winfig.A
Tipo: Caballo de Troya y Gusano
Alias: HLLP.Winfig.A, Trj/Winfig, Virus.Win32.HLLP.Winfig, W32.HLLW.Winfig.33280, W32.Winfig.Gen, W32/HLLW.Winfig.33280, W32/WinFig.A, W32/Winfig.HLLP, W32/Winfig.worm.gen, W32/Winfig-A, Win32.HLLP.Winfig, Win32.HLLP.Winfig.33280, Win32.Winfig.D, Win32/HLLP.Winfig.A, Win32/Winfig!Trojan, Win32/Winfig.B, Win32:Winfig, Winsound.gen
Actualizado: 2/set/06
Plataforma: Windows 32-bit
Tamaño: 33,280 bytes
Gusano capaz de propagarse a través de disquetes infectados. Esto restringe su capacidad de acción.
En el disquete, el archivo WINSOUND.EXE (el propio virus), tiene el mismo icono de una carpeta de Windows, por lo que si el sistema posee la configuración por defecto, la extensión .EXE permanecerá oculta y solo se verá el nombre WINSOUND bajo la apariencia de una carpeta.
Es muy probable que cualquier usuario desprevenido haga clic sobre esa supuesta carpeta para ver su contenido, momento en que se producirá la infección.
Cuando se ejecuta, se copia en alguna de las siguientes carpetas, utilizando alguno de los siguientes nombres:
c:\windows\winfig.exe
c:\windows\system\kernelg.exe
En Windows 95 o 98, modifica el archivo WIN.INI, de alguna de estas maneras:
[windows]
run=c:\windows\winfig.exe
[windows]
run=c:\windows\system\kernelg.exe
Una vez hechas las modificaciones, el gusano no hace nada más, hasta que se reinicia la computadora, momento en que gracias a los cambios realizados en el archivo WIN.INI, se ejecutará (En Windows 95, 98 solamente, en otros Windows se ejecutará cuando el usuario haga doble clic sobre él).
Una vez en memoria, a intervalos predefinidos (cada 5 minutos aproximadamente), el gusano examinará la unidad A:\, y si encuentra algún disquete en ella, se copiará allí con el siguiente nombre:
a:\winsound.exe
En determinadas fechas (después del 1 de octubre de cada año), creará una imagen BMP que luego definirá como diseño de fondo para el escritorio de Windows:
c:\windows\FxxxFhc.bmp
La imagen es un alien verde en fondo negro que se repetirá como mosaico:
Puede llegar a mostrar el siguiente texto:
Vírus Melissa
Quando vc me infectou, fiquei
apaixonado, desde entäo, venho
confeccionando-me,para um dia
encontra-lá, faz meses que venho
me reproduzindo através da internet
e de disquete, mas agora acabou,
näo vou mais correr atraz de vc, e
se eu näo posso telá, niguém mais a
terá...
Te Amo Melissa
Vírus Carlos
El virus puede modificar el archivo AUTOEXEC.BAT (Windows 9x), y luego abrirá un cuadro de diálogo con el siguiente texto:
Anti-Virus
Seu computador foi infectado pelo vírus Carlos
Reinicie seu Micro
[ Aceptar ]
Cuando el usuario reinicie su PC, el siguiente texto (que suplanta al contenido de AUTOEXEC.BAT), le será mostrado (esto solo ocurrirá en Windows 9x)
Cuidado com o comigo...
Eu voutarei...
Autoexec.bat destruido...
o vou voltar...
El gusano, intentará crear más de 300 carpetas vacías con el siguiente nombre:
c:\windows\system\Melissa & Carlos#
Donde "#" es un número de 0 a 315.
Reparación manual
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros y disquetes.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el archivo WIN.INI (solo Windows 95 o 98)
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque cualquiera de las siguientes opciones:
[windows]
run=c:\windows\winfig.exe
[windows]
run=c:\windows\system\kernelg.exe
Modifique la entrada que aparezca, para que quede de la siguiente manera:
[Windows]
run=
3. Grabe los cambios y salga del bloc de notas.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|