| |
VSantivirus No. 766 - Año 6 - Martes 13 de agosto de 2002
Prophecy. Se propaga en el archivo ‘Prophecy.exe’
http://www.vsantivirus.com/prophecy.htm
Nombre: Prophecy
Tipo: Gusano de Internet
Fecha: 15/nov/00, 9/ago/02
Alias: Prophecy.Worm, IRC/Prophecy@MM, I-Worm.Propec, VBS/Prophecy@MM, Trivial.Lifl.101
Plataformas: Windows 32-bits
Tamaño: 9,499, 403, 1,286, 566, 1,057 y 101 bytes
Fuente: McAfee, Symantec
Este gusano puede llegarnos a través del IRC (Internet Relay Chat), o adjunto a un e-mail.
Para:
CCO:
[todos los usuarios de la libreta de direcciones]
Asunto:
I Finally Found it!
Texto:
Maby the prophecy will come true for you.
Datos adjuntos:
prophecy.exe
El archivo PROPHECY.EXE (que también es enviado por IRC) tiene un tamaño de 9,499 bytes.
Cuando este archivo se ejecuta, el gusano se copia a si mismo en la carpeta de Windows:
C:\Windows\Prophecy.exe
Crea o modifica el archivo C:\WINDOWS\WINSTART.BAT, con las instrucciones para que Windows cargue el gusano en el próximo reinicio.
El gusano sobrescribe el archivo C:\MIRC\SCRIPT.INI con instrucciones para que el cliente mIRC, envíe el archivo
C:\WINDOWS\PROPHECY.EXE a los canales de chat a los que se accede, en el momento que se abandonan estos.
También libera tres scripts (.VBS) en la carpeta:
C:\Windows\All Users\Start Menu\Programs\Startup
o en esta carpeta (versiones en español de Windows):
C:\Windows\All Users\Menú Inicio\Programas\Inicio
Estos archivos son:
STARTUP1.VBS
STARTUP2.VBS
STARTUP3.VBS
Cada archivo VBS se borra a si mismo después de ejecutarse.
STARTUP1.VBS contiene la rutina de envío por correo electrónico, la cuál utiliza rutinas MAPI para enviar el propio gusano a todos los contactos de la libreta de direcciones de Windows (.WAB) en un mensaje como el ya descripto.
La rutina de envío no actuará si existe la siguiente clave en el registro, la que es creada después que el gusano envía su mensaje:
HKLM\Software\Microsoft\Windows\CurrentVersion\
prophecy = Microsoft Windows
El archivo STARTUP2.VBS contiene un mensaje que se activa de acuerdo a la fecha. Si el día del mes es 1, 10 o 15, se despliega la siguiente ventana de mensajes:
VBScript: I-Worm.Prophecy 1.0
Thoughts of what we were invade.
Miles that stand between can't separate.
You're all hoped you'd become...
[ Aceptar ]
También es creado el archivo C:\WINDOWS\FAVORITES\PROPHECY.URL, con un enlace a la página:
http://www.avp.au/.
STARTUP3.VBS puede crear (en una de tres chances), los archivos
C:\WINDOWS\TURN.DLL y C:\WINDOWS\DOSSTART.BAT.
Este último, contiene las instrucciones para generar el archivo
C:\WINDOWS\TURNING.COM con el comando DEBUG del DOS, basado en el código contenido en
TURN.DLL.
Luego DOSSTART.BAT ejecuta TURNING.COM, el cuál sobrescribe los primeros 96 bytes del archivo
C:\WINDOWS\WIN.COM. Esto causa la imposibilidad de entrar en Windows.
Los síntomas que delatan la existencia del gusano, son la presencia del archivo
C:\WINDOWS\PROPHECY.EXE y la clave mencionada anteriormente en el registro de Windows.
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
En caso de infección del archivo WIN.COM se deberá reinstalar Windows o copiar ese archivo desde un respaldo, siempre reiniciando desde CD o disquete.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Primera publicación:
VSantivirus No. 206 - Año 5 - Martes 30 de enero de 2001
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
