Virus: W32/PetTick.A. Para infectar usa mensaje sobre el Antrax

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 497 - Año 6 - Sábado 17 de noviembre de 2001

Nombre: W32/PetTick.A
Tipo: Gusano de Internet
Alias: WORM_PETTICK.A, PETTICK.A, W32/PetTick@MM, W95.Pet_Tick.gen
Tamaño: 6,144 bytes comprimido, 8,192 bytes sin comprimir.
Fecha: 16/nov/01

Comprimido con la utilidad UPX, este gusano se propaga vía e-mail y a través de canales de chat, usando el mIRC.

El adjunto que contiene el gusano cuando se envía por correo electrónico, se llama ANTHRAX_INFO.EXE; y este archivo pero con el nombre de MSSYS32.EXE, también es el enviado a los usuarios que comparten el mismo canal de chat a la que está conectada la máquina infectada.

El asunto del mensaje, también hace referencia al tema del Antrax ("What is Anthrax?"), buscando el clásico "gancho" para que un usuario inexperto abra el adjunto y se infecte.

El gusano no posee rutina destructiva alguna, por lo que su peligrosidad solo reside en su capacidad de reproducción.

Si el usuario ejecuta el adjunto (doble clic), se muestra una ventana con el siguiente mensaje:

You must be connected to run this file.
If it’s not the case, please connect you.

Luego, se copia a si mismo en la carpeta System de Windows, con el nombre "MSSYS32.EXE":

C:\Windows\System\MSSYS32.EXE

También crea un archivo llamado "ANTHRAX_INFO.URL" en el escritorio de Windows, o en el raiz de C:

C:\Windows\Desktop\ANTHRAX_INFO.URL
C:\ANTHRAX_INFO.URL

Se trata de un acceso directo al sitio http://www.anthrax.com, el cuál contiene información real sobre el Antrax.

También agrega la siguiente clave al registro de Windows para ejecutarse en cada reinicio del sistema:

HKLM\Microsoft\Windows\CurrentVersion\Run
Microsoft System = C:\Windows\System\MsSys32.exe

Si corresponde, también crea el archivo de configuración SCRIPT.INI, en la carpeta del cliente de chat, mIRC, buscando alguno de los siguientes directorios:

C:\mirc
C:\mirc32
C:\program files\mirc
C:\program files\mirc32

El contenido del script contiene las instrucciones para enviar el archivo MSSYS32.EXE a los participantes del canal de chat que visite el usuario infectado.

También envía el archivo MSSYS32.EXE con el nombre de ANTHRAX_INFO.EXE, como adjunto en un mensaje con estas características, a un determinado número de usuarios:

Asunto: "What is the Anthrax?"
Texto: I send you some information about Anthrax.
Click on the attached file.
Adjunto: ANTHRAX_INFO.EXE

El código del virus contiene el siguiente texto, que no es mostrado durante la ejecución del mismo:

I-Worm.Anthrax Coded by Petik – 2001

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

"Microsoft System" "C:\Windows\System\MsSys32.exe"

4. Pinche sobre el nombre "Microsoft System" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

7. Ejecute uno o más antivirus y borre los archivos detectados como infectados por W32/PetTick.A, PETTICK.A, etc.

Fuente: Trend Micro

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com