Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Oror.AI. Propagación masiva y borrado de archivos
 
VSantivirus No. 984 - Año 7 - Martes 18 de marzo de 2003

 W32/Oror.AI. Propagación masiva y borrado de archivos
http://www.vsantivirus.com/oror-ai.htm

Nombre: W32/Oror.AI
Tipo: Gusano de Internet
Alias: W32.HLLW.Oror.AI@mm, W32.HLLW.Oror.AD@mm, W32/Roro.AD@mm, I-Worm.Roron.gen
Variantes: W32.HLLW.Oror@mm, W32.HLLW.Oror.B@mm, W32.HLLW.Oror.C@mm
Tamaño: 131,072 bytes, 54,784 bytes (UPX)
Plataforma: Windows 32-bit

Se trata de una variante de la familia del W32/Oror (ver W32/Oror-Fam: http://www.vsantivirus.com/oror-fam.htm).

Este gusano intenta propagarse a través del correo electrónico, del mIRC, KaZaa y unidades y recursos compartidos en red.

El archivo adjunto a los mensajes de correo electrónico, llega con extensión .EXE o .SCR.

El gusano intenta además finalizar la ejecución de conocidos programas de seguridad (antivirus y cortafuegos).

Escrito en C++, se encuentra comprimido con la herramienta UPX.

Cuando se ejecuta, el gusano intenta enviarse a las direcciones obtenidas de todos los mensajes presentes en la bandeja de entrada del usuario infectado.

Posee una destructiva rutina que puede borrar todos los archivos del sistema.

Los asuntos de los mensajes varían, así como el nombre del adjunto, que suele tener extensión .EXE y .SCR. También varía su tamaño.

Para propagarse a través del mIRC, el gusano busca y modifica el archivo "Script.ini" en la carpeta de instalación del mIRC. De ese modo, enviará una copia de si mismo a todos los participantes del canal de chat en que se encuentre el usuario infectado.

Esta versión, parece ser una recompilación de la versión B (http://www.vsantivirus.com/oror-b.htm), con mensajes procedentes de otras variantes (A y C). Seguramente la intención de su autor es crear rápidamente versiones que cada vez sean más difíciles de detectar por los distintos productos antivirus.

Más información detallada sobre este gusano, así como las instrucciones para removerlo manualmente, las encontrará en las siguientes referencias:

W32/Oror-Fam. Una familia de destructivos gusanos
http://www.vsantivirus.com/oror-fam.htm

W32/Oror. Borra antivirus y cortafuegos
http://www.vsantivirus.com/oror.htm

W32/Oror.B. Borra archivos y antivirus, usa IRC y KaZaa
http://www.vsantivirus.com/oror-b.htm

W32/Oror.D. Se propaga vía redes P2P, IRC, email
http://www.vsantivirus.com/oror-d.htm

W32/Oror.K. Borra antivirus y cortafuegos
http://www.vsantivirus.com/oror-k.htm

W32/Oror.Q. Se propaga con una gran variedad de nombres
http://www.vsantivirus.com/oror-q.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS