|
VSantivirus No. 1100 Año 7, Sábado 12 de julio de 2003
W32/Jantic.B. Borra archivos y se propaga por e-mail
http://www.vsantivirus.com/jantic-b.htm
Nombre: W32/Jantic.B
Tipo: Gusano
Alias: Win32/Jantic.B, W32.Jantic.B@mm, W32/Jantic.b@mm, I.worm.jantic.b@mm, Bloodhound.W32.VBWORM, I-Worm.generic, W32/Generic.a@MM
Tamaño: 40,960, 73,728 bytes
Fecha: 11/jun/03
Esta versión del gusano, escrito en Visual Basic y compilado en código nativo, sin comprimir, se propaga enviándose a todos los contactos de la libreta de direcciones de Windows en mensajes como estos:
Versión 1:
Asunto: You have a ecard!
Datos adjuntos: attachment.exe
Texto:
You have recieved a E-Card!
Check your attatchments!
Versión 2:
Asunto: Technical Support - File you Requested.
Datos adjuntos: attachment.exe
Texto:
Hey, Here is the Attachment you Requested.
Please Respond Back. Thanks Technical Support.
Cuando se ejecuta muestra varias ventanas con mensajes:
Question
Guess Who's Back?
[ OK ]
W32.Jantic@mm
W32.Jantic@mm is
[ OK ]
Translate This
Hallo, Vermutung Was? Diese Akte jetzt löscht
Material, stellt Material her, täuscht vor,
norton zu sein und steckt Material an! Lol:)
Und Sie ließen die Akte laufen!
[ OK ]
Translate This
¿Hola, Conjetura Qué? ¡Este archivo ahora está
suprimiendo la materia, está creando la materia,
está fingiendo ser norton y está infectando la
materia! Lol:) ¡Y usted funcionó el archivo!
[ OK ]
Translate This
Hello, Suposição Que? Esta lima agora está
suprimindo o material, está criando o material,
está fingindo-o ser norton e infecting o material!
Lol:) E você funcionou a lima!
[ OK ]
Luego, se envía a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, en mensajes como los ya vistos, utilizando las funciones MAPI del Outlook y Outlook Express. MAPI (Messaging Application Programming Interface), es la interface de programación para aplicaciones que gestionan correo electrónico, servicios de mensajería, trabajos en grupo, etc.
El gusano crea después los siguientes archivos:
c:\attachment.exe
c:\windows\start menu\programs\startup\norton antivirus.exe
c:\windows\start menu\programs\startup\mcafee antivirus.exe
c:\windows\start menu\programs\startup\error.exe
c:\windows\a++.exe
c:\windows\pintaisback.exe
c:\windows\file.bat
c:\my shared folder\brittany spears nude.jpeg.exe
c:\my shared folder\50cents pre-release!.mpeg
Posee una destructiva rutina que se activa la próxima vez que la máquina infectada se reinicie. Cuando ello ocurre, el gusano borra de carpetas específicas, los archivos con extensión .EXE, .INI o .SCR, de acuerdo al siguiente filtro:
c:\program files\yahoo!\messenger\*.EXE
c:\windows\*.INI
c:\windows\system\*.SCR
De existir, también borrará los siguientes archivos pertenecientes a productos antivirus de Norton:
c:\archivos de programa\norton antivirus\naw32.exe
c:\archivos de programa\norton antivirus\nav32.exe
También intenta borrar el siguiente archivo, correspondiente a la utilidad de desfragmentar de Windows:
c:\windows\defrag.exe
Al finalizar mostrará el siguiente mensaje:
Error 0251d2
Please See Technical Support!
[ OK ]
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota:
Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior, aunque seguramente, si la rutina destructiva se llegó a ejecutar, la única solución efectiva sea reinstalar todos los programas y aplicaciones, incluido Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\attachment.exe
c:\windows\start menu\programs\startup\norton antivirus.exe
c:\windows\start menu\programs\startup\mcafee antivirus.exe
c:\windows\start menu\programs\startup\error.exe
c:\windows\a++.exe
c:\windows\pintaisback.exe
c:\windows\file.bat
c:\my shared folder\brittany spears nude.jpeg.exe
c:\my shared folder\50cents pre-release!.mpeg
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Información adicional
Cómo recuperar DEFRAG.EXE
En Windows 98:
1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.
2. Marque "Extraer un archivo del disco de instalación"
3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:
DEFRAG.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").
En Windows Me:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:
DEFRAG.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").
En Windows XP:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Expandir archivo"
3. En "Archivo para restaurar" escriba el nombre del archivo a restaurar:
DEFRAG.EXE
4. En "Restaurar desde" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).
7. Pinche en "Expandir".
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|