Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Kiray. Un error puede dificultar el uso de Windows
 
VSantivirus No. 472 - Año 5 - Martes 23 de octubre 2001

Nombre: W32/Kiray
Tipo: Gusano de Internet
Alias: W32/Kiray.13496, W32/Kiray@MM
Fecha: 21/oct/01
Tamaño: 13,496 bytes

Es un gusano de envío masivo, que además puede borrar archivos del sistema.

Puede llegar en un mensaje con estas características:

Asunto: Please make peace not war
Texto: The Lamers and Idiots Game
Adjunto: Kiray.exe

Si el usuario abre el adjunto, se produce la infección. Durante la misma, este código intenta enviarse a todos los contactos de la libreta de direcciones.

El archivo del virus se copia por defecto en c:\windows\temp\kiray.exe.

También se modifica el registro para que cada vez que se ejecute un archivo .EXE, se ejecute también el gusano:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado)="c:\windows\temp\kiray.exe" "%1" %*

Si por algún motivo, el archivo está en una ubicación diferente (porque no se instaló Windows en la carpeta estándar por ejemplo), o si el contenido de la carpeta \TEMP fue borrado por el usuario, entonces se produciría un error cada vez que se intentara ejecutar cualquier programa (un mensaje avisando que no puede encontrarse KIRAY.EXE es un síntoma claro de este tipo de acción).

El virus también crea políticas del sistema (como POLEDIT), que ocultan el escritorio, esconden todas las unidades de disco en Mi PC, y deshabilita el acceso al panel de control de la red.

El virus intenta también borrar todos los archivos en los siguientes directorios:

c:\windows
c:\windows\system
c:\Program Files\Microsoft Office
c:\Program Files\Internet Explorer

Para eliminar el gusano de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE puede estar asociada por el virus, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

command /c rename c:\windows\regedit.exe regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado)         c:\windows\temp\kiray.exe "%1" %*

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (kiray.exe) y dejar solo esto:

"%1" %*

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: Network Associates

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS