|
VSantivirus No. 921 - Año 7 - Martes 14 de enero de 2003
VSantivirus No. 928 - Año 7 - Martes 21 de enero de 2003
W32/Sahay.A. Asunto: "Fw: Sit back and be surprised.."
http://www.vsantivirus.com/mathmagic.htm
Nombre: W32/Sahay.A (W32/MathMagic)
Tipo: Gusano de Internet
Alias: MathMagic, Worm/MathMagic, W32.Sahay.A@mm, W32/Sahay.A
Fecha: 13/ene/03
Tamaño: 32,768 bytes
Plataforma: Windows 32-bit
Descripto como "W32/MathMagic" en VSA #921 el 14 de enero de 2003, ha sido reportado últimamente con el nombre de
"W32/Sahay.A" por las principales casas de antivirus.
Se trata del mismo gusano, con capacidad de envío masivo a través de Internet.
Para reenviarse a través de Internet vía correo electrónico, este gusano utiliza direcciones extraídas de la libreta de direcciones de Windows (Windows Adress Book, WAB).
El mensaje que utiliza tiene estas características:
Asunto:
Fw: Sit back and be surprised..
Datos adjuntos:
MathMagic.scr
Texto del mensaje:
Think of a number between 1 and 52.
Say it out loud, and keep repeating while you read on.
Think of the name of someone you know (of the opposite sex).
Now count which place in the alphabet, the second letter of that name has.
Add that number to the number you were thinking of.
Say the number out loud 3 times.
Now count which place in the alphabet the first letter of your first name has, and substract that number from the one you just had.o
Say it out loud 3 times.
Now sit back, watch the attached slide show, and be surprised..
Si el adjunto es ejecutado, el gusano se copia a si mismo en el directorio raíz de la unidad actual y en la carpeta de temporales de Windows, las dos veces con el nombre
"MathMagic.scr":
C:\MathMagic.scr
C:\Windows\TEMP\MathMagic.scr
También crea y ejecuta el siguiente
archivo, el cuál se encargará de la rutina de envío de
mensajes:
C:\Windows\Yahasux.vbs
Este script selecciona direcciones al azar de la libreta de Windows, y procede a enviar mensajes como el arriba descripto.
El gusano busca algunas características del virus W32/Yaha (y sus variantes), y de encontrarlas, intenta borrar dicho gusano, y luego muestra este mensaje:
Exchange viruses?
Hi there.. it seems you were infected with Yaha.k.
That worm however, written by an idiot who sPeLlS
lIkE tHiS,abused my website and got me toreceive
the complaints. Therefore, I have just disinfected
you.Don't worry tho.. as I didn't wanna steal from
you, I gave you this virus (Win32.HLLP.YahaSux) in
return :)
Greetz,
Gigabyte [Metaphase VX Team]
También intenta agregarse al comienzo de todos los archivos
.EXE de la carpeta C:\Windows y C:\Program
Files\Mirc\download, pero esta acción provoca que los ejecutables queden corruptos, lo cuál implica el mal funcionamiento de Windows y la necesidad de reinstalar la mayoría de los programas (además del propio Windows).
El gusano reinicia la computadora luego de esto.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\MathMagic.scr
C:\Windows\Temp\MathMagic.scr
C:\Windows\Yahasux.vbs
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
15/ene/03 - Alias: W32.Sahay.A@mm, W32/Sahay.A
15/ene/03 - Actualización de la descripción
21/ene/03 - Cambio de nombre "W32/Sahay.A"
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|