Virus: W32/Malot.int. Falsa herramienta para limpiar el Magistr

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 371 - Año 5 - Sábado 14 de julio de 2001

Nombre: W32/Malot.int
Tipo: Gusano de Internet
Fecha: 10/jul/01
Tamaño: 12,228 bytes

Este gusano, capaz de enviarse masivamente a través del correo electrónico, simula ser una herramienta capaz de detectar, reparar y proteger su computadora del ataque de otro conocido virus, el "Magistr".

Posee una rutina que se dispara los días jueves, y que entre otras cosas, cambia el texto de la ventana de "Propiedades del sistema" por el de "PetiK always is with you :-)".

También se puede enviar a todos las direcciones encontradas en las páginas localizadas en el caché del Internet Explorer. Para ello busca la secuencia "mailto:[dirección]" en los archivos .HTML del caché.

También modifica todos los archivos .HTM y .HTML de la carpeta de Windows (C:\Windows por defecto), agregándoles un pequeño script.

El mensaje portador del virus que puede llegar a nuestra computadora, tiene las siguientes características:

Asunto: New Virus Alert !!
Texto: This is a fix against I-Worm.Magistr. Run the attached file (MSVA.EXE) to detect, repair and protect you against this malicious worm
Archivo adjunto: MSVA.EXE (12,288 bytes)

El mensaje simula ser enviado por Microsoft, y cuando el adjunto es ejecutado, se copian los siguientes archivos en el sistema:

C:\Windows\Runw32.exe
C:\Windows\System\Msva.exe
C:\WINDOWS\Menú Inicio\Programas\Inicio\VARegistered.htm

También modifica el archivo C:\Windows\Win.ini:

[windows]
run=C:\Windows\runw32.exe

El pequeño script que el virus agrega a todos los archivos .HTM y .HTML de la carpeta C:\Windows, hace que al abrir uno de esos archivos, se despliegue el siguiente mensaje:

This file is infected by my new virus
Written by PetiK (c)2001
HTML/W32.MaLoTeYa.Worm

También modifica la página de inicio del Internet Explorer, colocando la página del autor del virus.

El virus actúa diferente, dependiendo desde que ubicación sea ejecutado.

Si se ejecuta el archivo desde cualquier otro lugar diferente al de la carpeta C:\Windows, el gusano se copia a si mismo en el sistema (presupone su ejecución por primera vez), modifica el archivo WIN.INI, crea el archivo VARegistered.htm, y muestra el siguiente mensaje:

Microsoft Virus Alert
Your system does not appear infected with I-Worm.Magistr
[ Aceptar ]

Si se ejecuta desde la carpeta C:\Windows, el gusano infecta todos los archivos .HTM y .HTML en esa misma carpeta. También envía al autor del virus, información relacionada con la configuración regional de la computadora infectada, sacada de los datos bajo la etiqueta [intl] del WIN.INI.

Luego busca en la carpeta del caché del Internet Explorer, las direcciones de correo contenidas en la línea "mailto:" de todos los archivos .HTM y .HTML, y les envía una copia del mensaje con el propio gusano adjunto, como vimos antes.

El gusano posee algunos errores que pueden causar la inestabilidad en el sistema infectado.

Como sacar el virus de un sistema infectado

Para eliminar el virus manualmente, siga estos pasos:

1. Primero ejecute un antivirus al día y luego borre estos archivos:

C:\Windows\Runw32.exe
C:\Windows\System\Msva.exe
C:\WINDOWS\Menú Inicio\Programas\Inicio\VARegistered.htm

2. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

3. Busque la siguiente entrada:

[windows]
run=C:\Windows\runw32.exe

Modifíquela para que quede así:

[windows]
run=

4. Grabe los cambios y salga del bloc de notas.

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia.

Ver también:
15/mar/01 - W32/Magistr@MM. Sofisticado y destructivo

Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy