| |
VSantivirus No. 143 - Año 4 - Martes 28 de noviembre de 2000
Nombre: W32/Lara.worm
Tipo: Gusano de Internet
Fecha: 27/11/00
Origen: desconocido
Tamaño: 52,737
Este gusano, es capaz de sobrescribir archivos en nuestro sistema, obligándonos a reinstalar Windows.
Llega en un mensaje con las siguientes características:
Asunto:
Lara Wallpaper Download Software
Texto del mensaje:
Hi [nombre del destinatario]
I found on the net a new interesting software about Lara Croft.
I send you because it's very cooooooool!!!
Try it and say me your opinion about it
See you soon and enjoy to have it
Archivo adjunto: Laracr~1.EXE, o LaraCroft.exe
El nombre del adjunto puede variar. Lara Croft es el conocido personaje de la serie de juegos para PC, Tomb Raider, y esto sirve de gancho para atrapar a muchos usuarios incautos.
Si pinchamos sobre el adjunto, el virus se ejecuta, y aparece una ventana con estas características:
Lara Wallpaper Download Software
Hi Friends,
This software downloads automatically new wallpaper on Lara
Croft official site
If you have any questions, go to www.eidosinterative.com
Please register it on our site at
www.eidosinteractive.com\Lara\Register
Thanks to have take this software
Lara Croft
[ OK ]
Si pinchamos en el botón OK, aparece esta otra ventana:
Lara Wallpaper Download Software
Please send this software about me to your friends...
You can select friends into your address book, now
Lara Croft
[ OK ]
Luego de esto, el gusano creará las siguientes entradas en el registro de Windows:
HKLM\Software\LaraCroft
HKLM\Software\LaraCroft\Install
Si estas claves ya existieran, el virus no hará nada más
De lo contrario, crea también estas entradas:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
LaraWallpaper=C:\WINDOWS\Escritorio\LaraCroft.exe
Este es un ejemplo, "C:\WINDOWS\Escritorio\LaraCroft.exe" puede ser cambiado por el nombre y la ubicación que tenga el archivo recibido, como vimos antes.
Luego de esto, sobreescribe TODOS los archivos con terminación .EXE en la carpeta C:\Windows
Intenta enviarse a si mismo vía correo a un destinatario llamado "a", buscándolo en la libreta de direcciones de Windows. Si este destinatario no existe, se le pide al usuario seleccionar los destinatarios.
La original rutina de correo, funciona bajo Outlook Express, pero falla bajo Outlook.
Note que antes de esto, los archivos .EXE del directorio de Windows, ya fueron borrados (sobrescritos).
A partir de ese momento, Windows dará error en la ejecución de muchas utilidades.
Para remover el virus, se deberá primero iniciar la computadora desde un disquete de inicio, y ejecutar un antivirus como F-PROT (actualizado), como se indica en nuestro sitio
"Cómo ejecutar F-PROT desde un
disquete", o se deberá borrar a mano, desde el DOS, el archivo LaraCroft.exe, (o Laracr~1.EXE, ya que desde el DOS no veremos los nombres largos). Recuerde que puede tomar otro nombre.
Esta técnica podrá resultar complicada para un usuario inexperto, pero como veremos al final, podríamos arriesgarnos a no hacerlo, y borrarlo desde Windows, porque la rutina maliciosa del virus no se ejecutará mientras existan dos claves en el registro creadas por el mismo (ver más adelante). Sin embargo, esto no ha sido probado.
Pero aunque el antivirus haya eliminado o no este archivo, aún queda lo de los archivos EXE que han sido sobrescritos (la falta de estos archivos en C:\Windows, impedirán su inicio normal, y utilidades como REGEDIT para borrar las claves del registro, no podrán ejecutarse), por lo que se deberá hacer una reinstalación de Windows, respetando la misma carpeta (C:\WINDOWS), para conservar la configuración anterior. Para ello, tal vez usted deba borrar además el archivo WIN.COM de la carpeta C:\WINDOWS, dependiendo de la versión de su Windows (actualización o versión para máquinas nuevas, por ejemplo).
Luego de ello, deberá ignorar el mensaje de error del registro (aparece si el archivo del virus fue borrado), hasta que elimine la clave "LaraWallpaper=" en la rama "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices", cosa que deberá hacer una vez instalado Windows, ejecutando el programa REGEDIT, desde Inicio, Ejecutar.
Como el virus no se volverá a ejecutar si existen las ramas:
HKLM\Software\LaraCroft
HKLM\Software\LaraCroft\Install
aún podríamos ingresar a Windows (después de reinstalar) con el virus en el disco, pero deberíamos borrarlo (borrar el archivo recibido en el mensaje que causó la infección) antes de quitar las referencias mencionadas del registro. Recuerde que esto no ha sido probado.
Fuente: McAfee
|
|
