|
VSantivirus No. 403 - Año 5 - Miércoles 15 de agosto de 2001
Nombre: W32/Modnar.A
Tipo: Gusano de Internet
Alias: Win32.Modnar.A@mm, W32/Modnar.A-mm
Fecha: 8/ago/01
Tamaño: 33 Kb aprox.
Este gusano, escrito en Visual C++, puede propagarse masivamente a través del correo electrónico, usando
Outlook y Outlook Express. Está comprimido con la utilidad UPX 1.07.
Puede llegar a nuestra casilla, en un mensaje con las siguientes características:
Asunto: Un texto semi randómico, ejemplos:
i ityl ulbkhbnaadmgguvggxcfe!?
l jhogfbjpubehewxfqezjjwqzib!?
jirlx lftuytzseikl jyefugeec!?
lusdnokjr yqtv xthwdrczm wp!?
Texto: Un texto semi randómico, ejemplos:
l
rCkVWg n
FByw
vYE
pxlsRcHT
pE
Ms
EcqdoQki
j
E
liXZ
tl
S
q
KPmZ
Tcbrazzko gkazodslfiuyvctgcbqx!?
Archivo adjunto: Un nombre semi randómico, ejemplos:
muktngke.doc.pif
srqxnwjj.doc.pif
ebreenis.doc.pif
nuvnjutp.doc.pif
El tamaño del adjunto es de 33,280
bytes, y está comprimido con la utilidad UPX, siendo su tamaño normal de unos
176 Kb.
Cuando el adjunto es abierto por el receptor, inmediatamente comienza la fase de propagación en masa de los mensajes infectados.
Primero, obtiene los datos de los destinatarios de la libreta de direcciones, la cuál busca examinando el contenido de la siguiente clave del registro:
HKCU\Software\Microsoft\WAB\WAB4\Wab File Name
Para usar la información de la libreta, el gusano carga la librería que contiene el API (Application Programming Interface) que Windows usa para ello:
wab32.dll.
Luego, utiliza sus propias rutinas MAPI para enviarse. Para ello, el gusano renombra el siguiente archivo:
C:\Windows\system\mapi32.dll
como
C:\Windows\system\mapi32x.dll
Luego, crea su propia copia de mapi32.dll, la que ejecuta la fase de envío masivo a todos los contactos de la libreta de direcciones.
Si no se encuentra instalado ni el Outlook ni el Outlook
Express, o no hay contactos en la libreta de direcciones (o esta no existe) el gusano falla en su intento de propagarse.
El virus no se copia a si mismo, ni pretende permanecer activo en cada reinicio, de modo que la forma de prevenirse es simplemente no abrir ningún adjunto no solicitado.
Del mismo modo, la limpieza de un sistema infectado, solo consiste en la ejecución de uno o más antivirus al día.
Sin embargo, se deberá seguir este procedimiento para recuperar los archivos
"mapi32.dll" y "mapi32x.dll" originales.
Windows 98 y Windows Me, incluyen herramientas para recuperar los archivos borrados. Para esto, es necesario tener a mano el CD de Windows 98 o Me, o los archivos de instalación (los .CAB) copiados en su disco duro. Luego siga estos pasos:
Windows 98
1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.
2. Marque "Extraer un archivo del disco de instalación"
3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba:
MAPI32.DLL
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es
D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente:
"C:\WINDOWS\Helpdesk\SFC").
9. Repita los pasos 2 a 8 para extraer el archivo:
MAPI32X.DLL
Windows Me
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar" escriba:
MAPI32.DLL
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es
D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente:
"C:\WINDOWS\MSConfigs\Backups").
9. Repita los pasos 2 a 8 para extraer el archivo:
MAPI32X.DLL
Fuentes: Message Labs, Central Command
(c) Video Soft - http://www.videosoft.net.uy
|
|