VSantivirus No. 1484 Año 8, jueves 29 de julio de 2004
W32/Mits.A. Se propaga en un mensaje en chino
http://www.vsantivirus.com/mits-a.htm
Nombre: W32/Mits.A
Tipo: Gusano de Internet
Alias: Mits.A, W32.Mits.A@mm, Trojan.Win32.Smith
Fecha: 24/jul/04
Plataforma: Windows 32-bit
Tamaño: 504,832 bytes
Este gusano se propaga masivamente por correo electrónico, utilizando su propio motor SMTP.
Se envía a direcciones electrónicas localizadas en las máquinas infectadas.
El gusano altera numerosas claves del registro, dificultando su remoción del sistema infectado. Deshabilita también la edición del registro.
También cambia la configuración de los modos gráficos de la pantalla, y hace que esta parpadeé, destelle o se apague y se encienda.
Cuando se ejecuta, crea algunos de los siguientes archivos:
c:\windows\system\winconfig.exe
c:\windows\system32\netbios.exe
c:\windows\system32\netserver.exe
c:\windows\system32\setup.exe
c:\windows\system32\winauto.exe
c:\windows\system32\winbios.exe
c:\windows\system32\winloadfile.exe
c:\windows\system32\winnote.exe
c:\windows\system32\winprofile.exe
c:\windows\system32\winserver.exe
Luego, borra los valores por defecto de las siguientes entradas en el registro:
HKLM\SOFTWARE\Classes\.inf
HKLM\SOFTWARE\Classes\.reg
HKLM\SOFTWARE\Classes\txtfile\shell\open\command
Y agrega los siguientes valores:
HKLM\SOFTWARE\Classes\.inf
([caracteres chinos]) = txtfile
HKLM\SOFTWARE\Classes\.reg
([caracteres chinos]) = txtfile
HKLM\SOFTWARE\Classes\txtfile\shell\open\command
([caracteres chinos]) = [nombre del gusano]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre del gusano] = [nombre del gusano]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SOFTWARE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinLogon
Crea o modifica los siguientes valores:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoChangeStartMenu = 1
NoDrives = 8
NoFind = 1
NoFolderOptions = 1
NoLogOff = 1
NoRealMode = 1
NoRecentDocsMenu = 1
NoRun = 1
NoSetFolders = 1
NoSetTaskBar = 1
NoStartMenu = 1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = 1
HKCU\Software\Microsoft\Internet Explorer\Main
Show_StatusBar = no
Show_URLToolBar = no
HKCU\Control Panel\Desktop
AutoEndTasks = no
El gusano examina todos los discos duros, y colecciona direcciones electrónicas de diferentes archivos, las que utiliza para enviarse por correo electrónico en mensajes con las siguientes características:
De: [dirección falsa]
En ocasiones puede ser la siguiente:
windowsnet@263.com.cn
De lo contrario, utiliza una combinación de textos extraídos de las siguientes listas para crear esta dirección:
Lista 1:
a
ai
ao
ba
bai
bang
bao
bi
bin
bing
bo
bon
bu
bun
ca
cai
can
ce
chuan
co
cu
cun
da
dan
dang
dao
de
di
din
ding
du
du
dun
e
en
eng
er
fa
fan
fen
feng
fong
fu
ga
gang
ge
gen
geng
go
gong
gu
gui
ha
hai
hao
he
hen
hong
hou
hua
huan
huang
huo
jian
jin
ka
kan
ke
kong
ku
la
lai
lang
lao
le
len
leng
Li
li
liang
liao
lie
ling
Liu
liu
ma
mai
mao
mei
mi
min
ming
mo
mong
mu
na
nan
nang
nao
ne
no
nong
nun
o
ong
pa
pao
pen
peng
pi
ping
pu
qi
qiao
qing
qiong
qiu
quan
re
ren
reng
rong
rou
sa
san
sang
sao
she
shi
shu
su
ta
tie
tong
wa
wang
we
wen
weng
Wu
wun
xi
xia
xiang
xing
ya
yan
yang
yin
ying
yong
you
yuan
zhang
Zhao
zhi
zhong
zhou
zi
Lista 2:
computer
flower
Linux
linuxsir
lover
smiler
smilesnow
snow
unix
westwind
wind
windows
windows95
windows98
windowsnet
windowsxp
wood
Lista 3:
@126.com
@163.com
@263.com.cn
@263.net
@china.com
@hotmail.com
@msn.com
@sina.com.cn
@sohu.com
@yahoo.com.cn
Texto del mensaje:
El texto del mensaje está escrito en chino. Entre otros caracteres, pueden leerse los siguientes textos:
Mydoom
www.panda. com
webmaster@panda. com
Datos adjuntos: [uno de los siguientes]
NetBios.exe
NetServer.exe
WinAuto.exe
WinBios.exe
WinLoadfile.exe
WinNote.exe
WinProfile.exe
El gusano evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas en su nombre:
@263.com.cn
@china.com
@hotmail.com
@sina.com.cn
@yahoo.com.cn
webmaster@panda.com
Reparación manual
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Descargue el archivo REPARA-MITS-A.REG en su escritorio:
http://www.videosoft.net.uy/repara-mits-a.reg
2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
4. Borre los archivos detectados como infectados.
5. Haga doble clic sobre el archivo REPARA-MITS-A.REG descargado antes en su escritorio, y confirme que desea agregar su contenido al registro.
6. Ejecute el editor de registro. Desde una ventana MS-DOS o "Símbolo del sistema", escriba REGEDIT y pulse ENTER
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
[nombre del gusano] = [nombre del gusano]
9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
\SOFTWARE
10. Pinche en la carpeta "SOFTWARE" y bórrela.
11. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\txtfile
\shell
\open
\command
12. En panel de la derecha, borre el siguiente valor si existe:
([caracteres chinos]) = [nombre del gusano]
13. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\WinLogon
14. Pinche en la carpeta "WinLogon" y bórrela.
15. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\.inf
16. Pinche en la carpeta ".inf" y en el panel de la derecha, borre el siguiente valor si existe:
([caracteres chinos]) = txtfile
17. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\.reg
18. Pinche en la carpeta ".reg" y en el panel de la derecha, borre el siguiente valor si existe:
([caracteres chinos]) = txtfile
19. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|