Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Naked. ¿Una lección no aprendida?
 
VSantivirus No. 242 - Año 5 - Miércoles 7 de marzo de 2001

Nombre: W32/Naked
Tipo: Gusano de Internet
Fecha: 6/mar/01
Destructivo: Si
Activo: Si
Tamaño: 73,728 bytes
Alias:
I-Worm.Naked.A, NakedWife.exe, TROJ_NakedWife, W32.Naked@MM, W32/Naked, TROJ_NAKEDWIFE, NAKEDWIFE, W32.HLLW.JibJab@mm

Una lección no aprendida

Naked es un gusano, en forma de ejecutable, escrito en Visual Basic 6. Llega en un mensaje que simula ser una presentación hecha en Macromedia Flash.

Es evidente que su gran propagación, en apenas pocas horas luego de su descubrimiento (6/mar/01), revela una vez más la preocupante desinformación de quienes reciben archivos adjuntos a un mensaje de correo electrónico. Ignorar un adjunto no solicitado, hubiera sido suficiente para evitar la infección.

Además, el mantener actualizados los antivirus, es otra de las premisas que muchos no cumplieron. Porque una vez más, prácticamente todas las casas antivirus respondieron en pocas horas, y sus actualizaciones cubrieron casi inmediatamente esta amenaza.

¿Sabía usted que muchos laboratorios antivirus son capaces de incluir en un plazo a veces menor de 15 minutos, la detección de un nuevo virus?. Pero irónicamente, son muchos los usuarios que no actualizan sus antivirus, a veces ni siquiera en lapsos menores a los 15 días. El resultado, la propagación de virus que no tienen ningún elaborado diseño para ello, o que simplemente utilizan la llamada "Ingeniería social", es decir que engañan al usuario con una probable animación de una "Esposa desnuda", como en este caso.

¿Cuántas lecciones debemos esperar para aprobar finalmente los exámenes?. La moraleja debería ser muy clara: JAMAS debemos abrir archivos adjuntos no solicitados, sin importar su procedencia.

El virus

Es un simple código ejecutable hecho en Visual Basic 6. Además de reenviarse a través del correo electrónico, posee peligrosas rutinas destructivas, capaces de borrar archivos críticos del sistema, obligando la reinstalación de Windows.

El mensaje infectado recibido, tiene estas características:

Asunto: FW: Naked Wife
Texto:
> My wife never look like that! ;-)

Best Regards,

[nombre del usuario infectado]

Archivo adjunto: NAKEDWIFE.EXE

El gusano no se instala en el sistema, ni modifica el registro para poder ejecutarse en cada inicio de Windows. Es un virus de acción directa (se activa al ejecutarlo con un doble clic en este caso sobre el adjunto).

Cuando se hace esto, el gusano muestra una pantalla falsa con una imagen de "Macromedia Flash Player" (se muestra como una animación realizada con esta utilidad), y despliega un mensaje de "Loading", "Loading.", "Loading..", en un bucle sin fin.

Los menús de la falsa aplicación, no funcionan, salvo el de ayuda ("Help"). Allí, cuando se selecciona "About Macromedia Flash Player 5...", se muestra la siguiente ventana:

Flash
You're are now FUCKED! (C) 2001 by BGK (Bill Gates Killer)
[   OK   ]

Mientras tanto, el gusano se copia a si mismo como "NakedWife.exe", en el directorio C:\WINDOWS\TEMP, y luego, usando el Outlook, se envía a todos los contactos de la libreta de direcciones.

También borrará los archivos con las siguientes extensiones, en la carpeta C:\WINDOWS:

*.INI
*.LOG
*.DLL
*.EXE
*.COM
*.BMP

Y los archivos con estas extensiones en la carpeta C:\WINDOWS\SYSTEM:

*.BMP
*.DLL
*.EXE
*.INI
*.LOG

Los archivos con el atributo de solo lectura (+R) y otros que estén en uso en el momento de la infección, no son afectados.

Sin embargo, el "borrado" igual será suficiente para que Windows no pueda volver a iniciarse, ya que incluso el archivo WIN.COM (el arranque de Windows) será borrado (en Windows 9x).

La única forma de recuperar el sistema, será reinstalando Windows.

El virus no funciona en algunos sistemas NT, y puede fallar al enviar sus mensajes infectados.

Además, es necesario tener instaladas las librerías de Visual Basic 6 para que se ejecute (MSVBVM60.DLL). Si se intenta abrir en un sistema sin este archivo, Windows mostrará una ventana de error.

Por la construcción de su código, sólo podrá copiarse al directorio temporal de Windows (C:\WINDOWS\TEMP), si el nombre del archivo es NAKEDWIFE.EXE. De lo contrario, los mensajes enviados por el mismo, carecerán del adjunto.

Como curiosidad, el autor parece haber dejado descuidadamente, pistas que apuntan a su identidad. Dentro de su código, puede leerse la posible ruta en la computadora en que fue creado, además del nombre de una compañía aseguradora de Brasil. La ruta es:

C:\Documents and Settings\mhsantos\Desktop\Temp\ProjTemp\ProjTemp.vbp

"Mhsantos" parecería ser el nombre de usuario del presunto programador. Pero también podría ser una elaborada trampa para involucrar a un inocente.

Para eliminar este virus, borre el archivo NAKEDWIFE.EXE del sistema y vacíe la papelera de reciclaje. Borre los mensajes recibidos con el virus, y borre el contenido de la carpeta de "Elementos eliminados".

Utilice también un antivirus al día para revisar su sistema.

Y recuerde, no abra jamás adjuntos que usted no pidió.

Fuentes: Trend Micro, Sophos, Network Associates, Computer Associates, Panda, F-Secure, Virus Attack!, Central Command


Ver también:
12/feb/01 - San Valentín y los virus. Consejos para todo el año
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?
26/nov/00 - Pautas generales para mantenerse alejado de los virus
10/nov/00 - La primera línea de defensa contra los virus: USTED

[ Más artículos ] [ Más hoaxes ]

 

Copyright 1996-2001 Video Soft BBS