VSantivirus No. 497 - Año 6 - Sábado 17 de noviembre de 2001
Nombre: W32/Redesi-H
Tipo: Gusano de Internet
Alias: mIRC/Redesi-H
Es un gusano que se propaga utilizando el Outlook y Outlook Express y el cliente de chat, mIRC.
El gusano llega a nuestro sistema en un mensaje con un asunto seleccionado al azar de esta lista:
Can't we sort this out ?
I was wrong, I'm sorry.
I know I was a bitch
We belong together
Can't resist, thats where we went wrong.
Seaside Atmosphere.
I hear the ocean beat upon the shore outside my room.
Calling me up from sleep to listen to her gracefull tune.
It's gonna be a lovely day.
Don't ask me what I smoke. But I drink to get drunk.
I kept watching the way you move.
Two people, barely tocuhing each other.
El cuerpo del mensaje contiene uno de los siguientes textos:
Hey baby
Sorry I was such a bitch to you.
Is there no way we can sort this out ?
The last few days have been hell without you... I miss you
I've attached a picture ... thought you might like it.
Please call me !
All my love. Erica
o
Hey darlin'
I'll be home in a few days. can't wait to see you again :)
Attached a picture we took on Sturday on Gatecrasher. Love
ya Erica =x=
o
Hi sexy.
Went to Gatecrasher on Saturday, it was absoulutly
brilliant !!!
here is a picture of me by the bar (as usual heh)
Be home tommorrow.
Cada mensaje enviado por el gusano, contiene dos adjuntos. Uno de ellos es siempre una imagen JPG auténtica (no contiene virus), llamada
ERICA.JPG.
El segundo adjunto es el propio código del gusano, con un nombre seleccionado al azar de esta lista:
C:\erica.scr
C:\YouandMe.exe
C:\Me.pif
C:\Myself.pif
C:\myscreensaver.scr
C:\aboutme.exe
C:\you.exe
C:\together.scr
Cuando se ejecuta, el gusano se envía a todos los contactos de la libreta de direcciones del Outlook.
También modifica el registro para ejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
El gusano también intenta crear un script para el mIRC en
C:\mirc\script.ini.
Este script, contiene las instrucciones para que cada vez que el usuario se conecta a un canal de chat, el virus se envía a cada participante del mismo.
Cada día viernes que se ejecute, el gusano muestra una ventana de mensajes con el siguiente texto:
Erica, what sunshine is to flowers, your smiles are to happiness.
Como sacar el virus de un sistema infectado
Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.
Luego, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "RUN". En el panel de la derecha, busque y borre cualquier entrada que haga referencia a alguno de estos archivos (conteste afirmativamente la pregunta de si desea borrar la clave):
C:\erica.scr
C:\YouandMe.exe
C:\Me.pif
C:\Myself.pif
C:\myscreensaver.scr
C:\aboutme.exe
C:\you.exe
C:\together.scr
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
6. Ejecute uno o más antivirus y borre los archivos detectados como infectados por
W32/Redesi-H, etc.
Fuente: Sophos
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
