VSantivirus No. 1459 Año 8, domingo 4 de julio de 2004
W32/Sachiel.G. Impide la ejecución de antivirus
http://www.vsantivirus.com/sachiel-g.htm
Nombre: W32/Sachiel.G
Tipo: Gusano
Alias: Sachiel.G, W32/Sachiel.G, W32/Sachiel.worm.g, I-Worm/Sachiel.g, Win32.Alchies.G, W32.Sachiel, W32/Alchies.G, Win32.Sachiel.G, WORM_SACHIEL.G, Worm.Win32.Sachiel.e, Win32/HLLW.Sachiel.F, Worm.Win32.Sachiel.f, Worm/Sachiel.G, W32/Sachiel.B
Fecha: 2/jul/04
Plataforma: Windows 95, 98 y Me
Tamaño: 40,448 Bytes (UPX)
Escrito en Microsoft Visual Basic, este gusano se propaga únicamente a través de disquetes infectados. El usuario debe ejecutar uno de los archivos con los que se copia en ellos, para ser infectado.
Crea diferentes nombres dependiendo de la fecha, e impide la edición del registro de Windows.
Solo se ejecuta correctamente en Windows 95, 98 o Me. Si se ejecuta en Windows NT, 2000 o XP, se produce un error. Además, debe existir la librería MSVBVM60.DLL (Visual Basic 6.0 Runtime Library) en el sistema.
Cuando se ejecuta por primera vez muestra en pantalla una ventana de error falsa con el siguiente mensaje:
Error
El archivo esta total o parcialmente dañado,
imposible abrir el archivo
[ Aceptar ]
Después de infectar el sistema, muestra esta otra ventana con el texto:
rund32
Esto Comienza Ahora, En este Instante
[ Aceptar ]
Luego se copia en el sistema con alguno de los siguientes nombres:
c:\windows\83.97.99.104.105.101.108.dll
c:\windows\autoexec.bat
c:\windows\drivsystem.com
c:\windows\help\sachiel.sys.bat
c:\windows\hhelp.exe
c:\windows\iexplore32.exe
c:\windows\system\autoexec.bat
c:\windows\system\helpdks.dll
c:\windows\winrun.pif
Modifica el archivo C:\WINDOWS\SYSTEM.INI:
[boot]
Shell = explorer.exe c:\windows\system\drivsystem.com
Modifica el archivo C:\WINDOWS\WIN.INI:
[windows]
run = c:\windows\system\iexplore32.exe
Modifica el archivo C:\AUTOEXEC.BAT:
@win C:\Windows\System\Autoexec.bat
NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).
Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WHelp = C:\Windows\System\HHelp.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
WHelp = C:\Windows\System\HHelp.exe
Para prevenir el uso del editor del registro (REGEDIT), modifica las siguientes claves:
HKCU\Software\Microsoft
\Windows NT\CurrentVersion\Policies\System
DisableRegistryTools=dword:00000001
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools=dword:00000001
HKU\.Default\Software\Microsoft
\Windows NT\CurrentVersion\Policies\System
DisableRegistryTools=dword:00000001
HKU\.Default\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableRegistryTools=dword:00000001
También crea esta entrada para su uso interno:
HKLM\Software\GEDZAC LABS
Crea una copia de si mismo utilizando alguno de los siguientes nombres:
acdsee 5.5.scr
age of empires 2 crack.scr
ana kournikova sex video.scr
animaciones.scr
animated screen 7.0b.scr
aol cracker.scr
aol instant messenger.scr
aol password cracker.scr
aquanox2 crack.scr
audiograbber 2.05.scr
avp antivirus pro key crack.scr
babefest 2003 screensaver 1.5.scr
babylon 3.50b reg_crack.scr
battlefield1942_bloodpatch.scr
battlefield1942_keygen.scr
britney spears sex video.scr
buffy vampire slayer movie.scr
business card designer plus 7.9.scr
cable modem ultility pack.scr
clone cd 5.0.0.3 (crack).scr
clone cd 5.0.0.3.scr
coffee cup free exe 7.0b.scr
compras.scr
cool edit pro v2.55.scr
counter-strike.scr
crack passwords mail.scr
credit card numbers generator(incl visa,mastercard,...).scr
cristina aguilera sex video.scr
delphi.scr
diablo 2 crack.scr
diario.scr
directdvd 5.0.scr
directivas.scr
directx buster (all versions).scr
directx infotool.scr
divx pro.scr
divx video bundle 6.5.scr
divx_pro.scr
download accelerator plus 6.1.scr
dvd copy plus v5.0.scr
dvd region-free 2.3.scr
edonkey2000-speed me up scotty.scr
fifa2003 crack.scr
final fantasy vii xp patch 1.5.scr
flash mx crack (trial).scr
flashget 1.5.scr
freeram xp pro 1.9.scr
game cube real emulator.scr
getright 5.0a.scr
global divx player 3.0.scr
gothic2 licence.scr
gta 3 crack.scr
gta 3 serial.scr
guitar chords library 5.5.scr
hentai anime girls movie.scr
hitman_2_no_cd_crack.scr
hot babes xxx screen saver.scr
hotgirls.scr
hotmail hacker 2003-xss exploit.scr
hotmail_hack.scr
icq pro 2003a.scr
icq pro 2003b (new beta).scr
imesh 3.6.scr
imesh 3.7b (beta).scr
irfanview 4.5.scr
jenifer lopez sex video.scr
kazaa hack 2.5.0.scr
kazaa sdk + xbit speedup for 2.xx.scr
kazaa speedup 3.6.scr
links 2003 golf game (crack).scr
listfonos.scr
living waterfalls 1.3.scr
macromedia dreamweaver key generator.scr
mafia_crack.scr
manual.scr
matrix movie.scr
matrix screensaver 1.5.scr
mcafee antivirus scan crack.scr
mediaplayer update.scr
microsoft keygenerator-allmost all microsoft stuff.scr
mirc 6.40.scr
mp3list.scr
mp3trim pro 2.5.scr
msn messenger 5.2.scr
nba2003_crack.scr
need 4 speed crack.scr
nero burning rom crack.scr
netbios nuker 2003.scr
netfast 1.8.scr
network cable e adsl speed 2.0.5.scr
nhl 2003 crack.scr
nimo codecpack (new) 8.0.scr
norton anvirus key crack.scr
paltalk 5.01b.scr
pamela_anderson.scr
panda antivirus titanium crack.scr
patricia.scr
play station emulator.scr
popup defender 6.5.scr
pop-up stopper 3.5.scr
ps2 playstation simulator.scr
quick time key crack.scr
quicktime_pro_crack.scr
sakura card captor movie.scr
screen saver christina aguilera naked.scr
screen saver christina aguilera.scr
security-2003-update.scr
serials 2003 v.8.0 full.scr
serials2000.scr
sex live simulator.scr
sex passwords.scr
smartftp 2.0.0.scr
smartripper v2.7.scr
space invaders 1978.scr
spiderman movie.scr
splinter_cell_crack.scr
starcraft serial.scr
start wars trilogy movies.scr
steinberg_wavelab_5_crack.scr
stripping mp3 dancer+crack.scr
subseven.scr
thalia sex video.scr
trillian 0.85 (free).scr
tweakall 3.8.scr
unreal2_bloodpatch.scr
unreal2_crack.scr
ut2003_bloodpatch.scr
ut2003_keygen.scr
ut2003_no cd (crack).scr
ut2003_patch.scr
vb6.scr
virtua girl - adriana.scr
virtua girl - bailey short skirt.scr
virtua girl (full).scr
virtualsex.scr
visual basic 6.0 msdn plugin.scr
visual basic 6.scr
warcraft 3 crack.scr
warcraft 3 serials.scr
warcraft_3_crack.scr
winamp 3.8.scr
winamp plugin pack.scr
windowblinds 4.0.scr
windows xp complete + serial.scr
windows xp exploit.scr
winfile.scr
winoncd 4 pe_crack.scr
winrar 3.xx password cracker.scr
winzip 9.0b.scr
winzip full version key generator.scr
winzip keygenerator crack.scr
winzipped visual c++ tutorial.scr
xnuker 2003 2.93b.scr
yahoo messenger 6.0.scr
zelda classic 2.00.scr
Finaliza todas las aplicaciones que se estén ejecutando, si sus nombres contiene alguna de las siguientes cadenas:
_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
advxdwin
alertsvc.exe
alogserv
amon.exe
amon9x
anti-trojan.exe
antivir
apvxdwin.exe
atcon
atupdater
atwatch
autodown.exe
autotrace
avconsol.exe
ave32.exe
avgcc32
avgctrl.exe
avgserv
avgserv9
avkpop
avkserv
avkserv.exe
avkservice
avkwctl9
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
avrep32.exe
avsched32.exe
avsynmgr.exe
avwin95.exe
avwinnt
avwupd32.exe
avxmonitor9x
avxmonitornt
avxquar
bitdefender
blackd.exe
blackice.exe
bullguard
ccapp.exe
cfgwiz
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
claw95ct.exe
cleaner.exe
cleaner3.exe
clrav.com
cmgrdian
connectionmonitor
cpdclnt
defalert
defscangui
defwatch
doors
dv95.exe
dv95_o.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
efinet32.exe
efpeadm
esafe.exe
espwatch.exe
etrustcipe
expert
f-agnt95.exe
fameh32
fch32
fih32
findviru.exe
firewall
fnrb32
fprot.exe
f-prot.exe
fprot95.exe
f-prot95.exe
fp-win.exe
frw.exe
fsav32
fsgk32
fsm32
fsma32
fsmb32
f-stopw.exe
gbmenu
gbpoll
generics
guard
iamapp.exe
iamserv.exe
iamstats
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icmoon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
isrv95
jed.exe
jedi.exe
kpf.exe
kpfw32.exe
ldpromenu
ldscan
lockdown2000.exe
lockdownadvanced.exe
lookout.exe
luall.exe
lucomserver.exe
luspt
mcafee
mcagent
mcmnhdlr
mctool
mcupdate
mcvsrte
mcvsshld
mghtml
minilog
monitor.exe
moolive.exe
mpfservice
mpftray.exe
msconfig.exe
mwatch
n32scan.exe
n32scanw.exe
navapsvc.exe
navapw32.exe
navengnavex15
navlu32.exe
navnt.exe
navrunr.exe
navsched.exe
navw.exe
navw32.exe
navwnt.exe
ndd32
neowatchlog
netutils
nisserv.exe
nisum.exe
nmain.exe
norman
normist.exe
norton
notstart.exe
npscheck
npssvc
nsched32.exe
nspclean.exe
ntrtscan
ntvdm
ntxconfig
nupgrade.exe
nvc95.exe
nvsvc32
nwservice
nwtool16
offguard.exe
outpost.exe
padmin.exe
panda
pav.exe
pavcl.exe
pavmail.exe
pavproxy
pavsched.exe
pavw.exe
pcciomon.exe
pccmain.exe
pccwin97
pccwin98.exe
pcfwallicon.exe
pcntmon
pcscan
per.exe
perd.exe
persfw.exe
pertsk.exe
perupd.exe
pervac.exe
pervacd.exe
pop3trap
poproxy
portmonitor
pqremove.com
processmonitor
procexp
programauditor
pview95
pview95.exe
rapapp.exe
rav7.exe
rav7win.exe
realmon
regedit.exe
regedt32.exe
rescue.exe
rtvscn95
rulaunch
safeweb.exe
sbserv
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
security
serv95.exe
sfc.exe
smc.exe
sphinx.exe
spyxx
ss3edit
sweep95.exe
sweepnet
swnetsup
symproxysvc
symtray
taumon
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
tds-3
th.exe
th32.exe
th32upd.exe
thav.exe
thd.exe
thd32.exe
the hacker
thmail.exe
trojan
vbcmserv
vbcons
vcontrol.exe
vet32.exe
vet95.exe
vet98.exe
vettray.exe
vir-help
virus
vpc32
vptray
vscan40.exe
vsecomr.exe
vshwin32.exe
vsmain
vsmon
vsscan40.exe
vsstat.exe
watchdog
webscan.exe
webscanx.exe
webtrap
wfindv32.exe
wgfe95
wimmun32
wradmin
wrctrl
zapro.exe
zonealarm.exe
El gusano se actualiza a si mismo, desde los siguientes sitios:
http:\ \db .envy .nu\bupdate .bin
http:\ \gb .envy .nu\bupdate .bin
http:\ \jb .envy .nu\bupdate .bin
Reparación manual
Para recobrar el uso de REGEDIT.EXE, descargue (por ejemplo en el escritorio de Windows) el archivo RESTAURAR.REG de nuestro sitio:
http://www.videosoft.net.uy/restaurar.reg
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
4. Reitere estos pasos en cada disquete previamente utilizado
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Haga doble clic sobre el archivo RESTAURAR.REG descargado anteriormente en su PC, y confirme las modificaciones a realizar.
2. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
4. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
WHelp
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
WHelp
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\GEDZAC LABS
8. Pinche en la carpeta "GEDZAC LABS" y bórrela.
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Modificar SYSTEM.INI
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
Usuarios de Windows 95, 98 y Me:
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
Shell = explorer.exe c:\windows\system\drivsystem.com
y déjelo así:
[boot]
Shell = explorer.exe
3. Grabe los cambios y salga del bloc de notas
Modificar WIN.INI
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
Usuarios de Windows 95, 98 y Me:
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo.
Por ejemplo:
[Windows]
run = c:\windows\system\iexplore32.exe
Debe quedar como:
[Windows]
run =
3. Grabe los cambios y salga del bloc de notas.
Método para revisar AUTOEXEC.BAT
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre AUTOEXEC.BAT. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse en Aceptar.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre la línea que contenga lo siguiente:
@win C:\Windows\System\Autoexec.bat
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|