VSantivirus No. 468 - Año 5 - Viernes 19 de octubre 2001
Nombre: W32/Redesi.a
Tipo: Gusano de Internet
Alias: W32/Ucon, W32/Redesi.gen@MM, W32/Redesi.a@MM
Fecha: 18/oct/01
Tamaño: 12,288 bytes
W32/Redesi.b y W32/Redesi.a o (conocidos en un primer reporte como W32/Ucon), son gusanos de envío masivo a través de Internet, escritos en Visual Basic 6.
Para enviarse, utiliza los usuarios de la libreta de direcciones del Outlook, a los que se envía en caso de haber sido ejecutado en un ambiente infectado.
El código del virus está comprimido con una utilidad compresora de ejecutables.
El mensaje en el que puede arribar, contiene algunos de los siguientes asuntos:
- FW: Security Update by Microsoft.
- FW: Microsoft security update.
- FW: IT departments on state of HIGH ALERT.
- FW: Important news from Microsoft.
- FW: Stop terrorists computer viruses reign.
- FW: Terrorists release computer virus.
- FW: Emergency response from Microsoft Corp.
- FW: Terrorist Emergency. Latest virus can wipe disk in minutes.
- FW: Microsoft Update. Final Release Candidate.
- FW: New computer virus.
Y como texto del mensaje:
Just recieved this in my email
I have contacted Microsoft and they say it's real !
-----Original Message-----
From: Microsoft Support Desk [mailto:Support@microsoft.com]
Sent: 17 October 2001 15:21
Subject: Security Update
Due to the recent spate of email spread computer viruses
Microsoft Corp has released a security patch.
Please apply the attached file to your Windows computer
to stop any futher spread or these malicious programs.
Regards
Microsoft Support
Archivo adjunto (una de estas opciones):
Common.exe
Rede.exe
Si.exe
UserConf.exe
disk.exe
Si el usuario ejecuta uno de estos adjuntos, se muestra una ventana de error falsa:
Microsoft Windows Update
Your Windows Update has been successful.
[ OK ]
El virus se copia luego al raiz de la unidad C: con estos nombres, todos con el atributo de oculto (+H):
c:\Common.exe
c:\disk.exe
c:\Rede.exe
c:\Si.exe
c:\UserConf.exe
Y finalmente, se envía a si mismo a todos los contactos de la libreta de direcciones.
También modifica el registro de Windows, para ejecutarse en próximos reinicios:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Rede="C:\rede.exe"
También modifica esta clave del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\ErrorHandling
Error=True
El 11 de noviembre se ejecuta una rutina destructiva que actúa tanto en las versiones en inglés como en español (como en inglés la fecha se escribe con el mes primero, la fecha 11/11, grabada en el código del virus, hace coincidir las dos acciones porque mes y día tienen el mismo número).
Si el 11 de noviembre se enciende una computadora infectada, se agregan instrucciones al archivo
AUTOEXEC.BAT que formatearán el disco duro en un segundo reinicio de Windows:
ECHO Bide ye the Wiccan laws ye must, In perfect love and perfect trust.
format C: /autotest
Esto funcionará en algunas versiones de Windows, ya que ni XP ni Windows 2000 utilizan el archivo AUTOEXEC.BAT.
Como sacar el virus de un sistema infectado
Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.
Luego, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:
Rede
"C:\rede.exe"
4. Pinche sobre el nombre "Rede" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
ErrorHandling
6. Pinche sobre la carpeta "ErrorHandling", y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Ver también:
VSantivirus No. 468 - 19/oct/01
Redesi, pretende hacerse pasar por mensaje de Microsoft
http://www.vsantivirus.com/19-10-01.htm
VSantivirus No. 468 - 19/oct/01
W32/Redesi.a. ¡Microsoft no envía parches por correo!
http://www.vsantivirus.com/redesi-a.htm
VSantivirus No. 467 - 18/oct/01
Virus: W32/Redesi.b (Ucon). Envío masivo a todos los contactos
http://www.vsantivirus.com/redesi-b.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|