|
VSantivirus No. 1093 Año 7, Sábado 5 de julio de 2003
W32/Multi-infector. Destructivo virus peruano
http://www.vsantivirus.com/multi-a.htm
Nombre: W32/Multi-infector
Tipo: Virus infector de archivos y gusano de Internet
Alias: MuLti-InFecTor
Plataforma: Windows 32-bit
Tamaño: ~ 41 Kb
Fecha: 5/jul/03
Se trata de un peligroso virus de origen peruano, reportado por primera vez por Per Antivirus. Escrito en Visual Basic 6, y comprimido con la herramienta PEtite, es capaz de propagarse a través de páginas web. Se aprovecha de una reciente vulnerabilidad que afecta al Microsoft Internet Explorer 5.01, 5.5, y 6.0.
En aquellos equipos sin los parches respectivos, el gusano puede ser descargado y ejecutarse automáticamente con solo visualizar una página Web.
Infecta archivos de múltiples extensiones, puede propagarse a través de recursos compartidos, y además elimina importantes herramientas de Windows, dificultando su eliminación.
También deshabilita las opciones de seguridad de Word y Excel.
Cuando se ejecuta, el gusano se copia en las siguientes ubicaciones:
\TEMP\Extrac.com
\TEMP\TempFile.bat
\TEMP\Template.xls.scr
\TEMP\WCompress.scr
\TEMP\WinCs.scr
\TEMP\WinX.scr
c:\windows\system\jniwxaF.pif
c:\windows\system\Multi-Infect.dll
c:\windows\system\tMtRCrI.pif
NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).
"\TEMP" puede ser "C:\Windows\TEMP" en Windows 9x/ME y "C:\Documents and Settings\[usuario]\Local Settings\TEMP" en Windows NT, XP, 2000 y Server 2003.
También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
W32Load = c:\windows\system\jniwxaF.pif
Luego, el gusano deshabilita el editor del registro de Windows, REGEDIT.EXE, creando la siguiente entrada:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"
Además de ello, en el siguiente reinicio de Windows, el gusano borrará tanto el archivo REGEDIT.EXE, como otros archivos del sistema:
c:\windows\Regedit.Exe
c:\windows\Drwatson.Exe
c:\windows\system\Msconfig.Exe
c:\windows\system\Sfc.Exe
El primero es el editor del registro del sistema, como ya mencionamos. MSCONFIG es la Utilidad de Configuración del Sistema (solo Windows 98 y Me), DRWATSON es una utilidad para detectar fallos, y SFC (System File Checker), permite recuperar archivos del sistema borrados o modificados (solo Windows 98). El borrado de estos archivos dificultará la limpieza del virus.
El gusano intentará luego infectar todos los archivos con las siguientes extensiones:
.asp
.doc
.exe
.htm
.html
.htx
.mht
.mhtml
.php
.phtm
.phtml
.plg
.ppt
.rar
.scr
.shtm
.shtml
.vbe
.vbs
.xls
.zip
También puede infectar archivos en unidades de red con recursos compartidos. La infección se produce agregándose el código del virus (8,192 bytes) al comienzo de los archivos infectados. Los archivos HTM, HTML y VBS, son encriptados, siendo imposible su recuperación.
Además de ello, cada día 26 de cualquier mes, el gusano mostrará ventanas con los siguientes textos:
W32/MuLti-InFecTor
Gracias por Preferir Nuestro Producto
[ OK ]
W32/MuLti-InFecTor
El 26 de Abril es el día la Tierra
¿Que hiciste tú este año para proteger
nuestro planeta?
[ OK ]
W32/MuLti-InFecTor
Hecho en LatinoAmerica (Perú - Mexico)
Derechos reservados
[ OK ]
Se aconseja instalar el siguiente parche, que actualiza el Internet Explorer para no ser afectado por la vulnerabilidad explotada por este gusano para propagarse:
Nuevo acumulativo para Internet Explorer (MS03-020)
http://www.vsantivirus.com/vulms03-020.htm
La infección, puede ameritar la reinstalación del sistema operativo.
[Esta descripción será ampliada]
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|