VSantivirus No. 1274 Año 8, viernes 2 de enero de 2004
W32/Quis.A. Asunto: "Merry Christmas!"
http://www.vsantivirus.com/quis-a.htm
Nombre: W32/Quis.A
Tipo: Gusano de Internet y virus infector de ejecutables
Alias: Quis, Win32/Quis.A, PE_QUIS.A, W32.HLLP.Belzy@mm, Win32/HLLP.Ziquy, W32/Quiz.A, W32/Quis@MM, I-Worm.Qizy, W32/Qizy-A, Win32.HLLP.Quizy, Win32.Quis.A,
Win32/Qizy.A
Relacionados: VBS_QUIS.A
Asunto: Merry Christmas!
Datos adjuntos: xmas.scr
Plataforma: Windows 32-bit
Tamaño: 32,768 bytes
Fecha: 23/dic/03
Actualizado: 1/ene/04
Gusano escrito en Microsoft Visual C++ y comprimido con la utilidad UPX, que se envía masivamente por correo electrónico en un mensaje con las siguientes características:
Asunto: Merry Christmas!
Texto:
You've probably received enough e-cards.
Here's a nice Christmas screensaver instead :)
Datos adjuntos: xmas.scr
También es un virus que infecta todos los archivos con extensión .EXE en las siguientes carpetas:
\my documents (\mis documentos)
c:\progra~1\mirc
Agrega 32,768 bytes de su código al comienzo de los archivos infectados.
Además, sobrescribe todos los archivos con la extensión .RTX que encuentre en la carpeta "My Documents" o "Mis documentos".
Cuando se ejecuta, crea los siguientes archivos:
c:\xmas.scr
c:\startup.exe
También crea las siguientes entradas en el registro para ejecutar en cada reinicio de Windows una aplicación de preguntas y respuestas (no es el gusano propiamente dicho):
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = c:\startup.exe
Para propagarse vía correo electrónico, crea el siguiente archivo:
c:\windows\system\mail.vbs
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
El script obtiene las primeras 666 entradas de la libreta de direcciones del usuario actual, para enviar un mensaje como el descripto antes, utilizando las funciones MAPI (Messaging Application Program Interface) a través del Microsoft Outlook y Outlook Express.
Después del envío, el archivo .VBS es borrado.
Después de enviar los mensajes, el gusano borra todas las copias creadas en la bandeja "Elementos enviados".
El gusano también crea el siguiente archivo:
c:\windows\system\jbells.rtx
Los archivos .RTX son archivos de texto que contienen un formato de notas para melodías, utilizadas en teléfonos móviles. En este caso contiene la melodía clásica de Navidad, "Jingle Bells".
Al ejecutarse el adjunto recibido, se muestra una ventana con el siguiente texto, donde se informa al usuario que
ha sido infectado, y que si responde correctamente 10 preguntas, se le indicará la forma de desinfectarse:
Your computer is infected with Win32.HLLP.Quizy.
However, if you complete the quiz, you may be able
to disinfect it. In total, there are 10 questions.
All answers exist out of only one word or number,
and are case insensitive. You can try answering a
question as many times as you like, but you'll only
get to the next question when your answer is correct.
Merry Christmas or something ;)
Cuando se ejecuta STARTUP.EXE (en el siguiente reinicio de la computadora luego de la infección), se muestra un programa de preguntas tipo encuestas en una ventana
MS-DOS con el siguiente texto:
These are the questions for the quiz:
- Which animal would Santa have if he actually existed?
- In which country do I live?
- Which season do I hate the most?
- What does antivirus person Graham Cluley have between his toes?
- What kinda virus is an HLLC virus?
- Which chipset does a U.S. Robotics 22Mbps Wireless PC Card have?
- Which keyboard layout is used in Belgium?
- In which language did I write Parrot?
- And Darkness?
- In the 'Buffy The Vampire Slayer' series, there's a vampire who had a chip in his head for a while. What's his name?
Las respuestas correctas son las siguientes (sensible a mayúsculas y minúsculas):
- reindeer
- Belgium
- winter
- cheese
- companion
- acx100
- azerty
- assembler
- tcl
- Spike
Después de responder (hasta que no se responda correctamente una pregunta no se permite pasar a
la siguiente), el gusano muestra el siguiente mensaje:
You answered all the questions. Go to
http:/ /www.geocites.com/quiz_map for information
on how to clean your system.
Además, el gusano crea otra copia de si mismo con el nombre ORIGFILE.EXE y lo ejecuta como un proceso separado. Este archivo es borrado luego de la ejecución.
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\xmas.scr
c:\startup.exe
c:\windows\system\mail.vbs
c:\windows\system\jbells.rtx
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
(Predeterminado)
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
02/ene/04 - Actualización de la descripción
02/ene/04 - Alias: I-Worm.Qizy, W32/Qizy-A, Win32.HLLP.Quizy, Win32.Quis.A
03/ene/04 - Alias: Win32/Qizy.A
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|