VSantivirus No. 408 - Año 5 - Lunes 20 de agosto de 2001
Nombre: W32/Imelda.A
Tipo: Infector de ejecutables
Alias: Win32.HLLP.Imel, Win32.Imelda.A
Fecha: 17/ago/01
Este virus, escrito en Visual Basic, infecta ejecutables en formato
PE EXE (Portable Executable) (1), y se propaga a través de disquetes, por lo que su expansión se ve reducida enormemente.
El virus (también en formato PE), busca archivos .EXE en el directorio actual, y se agrega él mismo al comienzo del código de su víctima.
El virus se copia luego en dos archivos en el sistema (en el disco C):
C:\Game32.exe
C:\WINDOWS\Game32.exe
El segundo archivo, es registrado en la clave del registro que habilitará su ejecución, cada vez que Windows se reinicie:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Imelda = c:\WINDOWS\GAME32.exe
Para propagarse a través del disquete, el virus se copia a si mismo en la unidad
A (si existe un disquete, y está preparado para lectura):
A:\imel.exe
También creará un archivo adicional (A:\autoexec.bat) con el comando para copiar el archivo
IMEL.EXE como GAME32.EXE al raíz del disco
C, y a la carpeta de autoarranque de Windows (esto último funcionará solo en la versión en inglés):
C:\Game32.exe
c:\windows\startm~1\programs\startup\Game32.exe
Luego de estas acciones, el virus mostrará este texto en el centro de la pantalla:
Win32.IMELDA.A
Si se ejecuta los días 8 o 12 de cualquier
mes, entonces crea en el escritorio de Windows, dos enlaces, uno a una página Web y otro a una dirección de correo:
http://www.indovirus.8m.net
mailto:iwing@iwing-homebase.org
El virus también muestra este mensaje:
Win32.Imelda.A
Hi... There, this is my Day to go Around the world
Just click OK and well do the rest.... :)
Visit me at http://www.indovirus.8m.net or
http://www.geocities.com/indohacker2001,
for serum - Mailto:iwing@iwing-homebase.org
Como sacar el virus de un sistema infectado
Para quitar manualmente el virus, ejecute un antivirus al día, y borre los archivos creados por el mismo. Estos serían los siguientes:
C:\Game32.exe
C:\WINDOWS\Game32.exe
c:\windows\startm~1\programs\startup\Game32.exe
A:\imel.exe
Examine con el antivirus todos sus disquetes, y borre el archivo
A:\IMEL.EXE si existiera.
Modifique (de existir), con el bloc de notas, el archivo A:\Autoexec.bat, para borrar las líneas que hacen referencia a
IMEL.EXE y GAME32.EXE.
Luego, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:
"Imelda"
"c:\WINDOWS\GAME32.exe"
4. Pinche sobre el nombre "Imelda" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Glosario:
(1) Archivos PE (Portable Executable) - Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
Fuente: Kaspersky Antivirus
(c) Video Soft - http://www.videosoft.net.uy
|