|
VSantivirus No. 1188 Año 7, Miércoles 8 de octubre de 2003
W32/Spacemark.A. Gusano que se copia en todos los discos
http://www.vsantivirus.com/spacemark-a.htm
Nombre: W32/Spacemark.A
Tipo: Gusano
Alias: Spacemark, W32.Spacemark
Fecha: 5/oct/03
Plataforma: Windows 32-bit
Tamaño: 32,768 bytes
Reportado por: Symantec
Este gusano, escrito en Visual Basic, se copia a si mismo en los discos locales, y en todas las unidades de red mapeadas, utilizando diferentes nombres.
Crea también la siguiente entrada en el registro de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Anti Virus and Firewall
MyApp = [nombre del ejecutable]
Además intenta copiarse en las siguientes ubicaciones (las que existan de esta lista), con los siguientes nombres:
a:\ntuser3.exe
b:\ntuser3.exe
c:\documents and settings\all users\start menu\programs\startup\1.exe
c:\documents and settings\all users\start menu\programs\startup\2.exe
c:\documents and settings\all users\start menu\programs\startup\3.exe
c:\documents and settings\all users\start menu\programs\startup\4.exe
c:\documents and settings\all users\start menu\programs\startup\5.exe
c:\documents and settings\all users\start menu\programs\startup\networker.bat
c:\documents and settings\all users\start menu\programs\startup\network.exe
c:\documents and settings\all users\start menu\programs\startup\screen saver.scr
c:\documents and settings\all users\start menu\programs\startup\windows.pif
c:\documents and settings\all users\start menu\programs\system.pif
c:\ntuser3.dat
c:\windows\ntuser3.dat
c:\windows\start menu\programs\startup\1.exe
c:\windows\start menu\programs\startup\2.exe
c:\windows\start menu\programs\startup\3.exe
c:\windows\start menu\programs\startup\4.exe
c:\windows\start menu\programs\startup\5.exe
c:\windows\start menu\programs\startup\network.exe
c:\windows\start menu\programs\startup\networker.bat
c:\windows\start menu\programs\startup\screen saver.scr
c:\windows\start menu\programs\startup\windows.pif
c:\windows\start menu\programs\system.pif
c:\windows\system32\324rfdgv.pif
c:\windows\system32\345tte.pif
c:\windows\system32\4354rfreg.pif
c:\windows\system32\4364754ygh.pif
c:\windows\system32\43rte453.pif
c:\windows\system32\43tdrg.pif
c:\windows\system32\45tgfgdfg.pif
c:\windows\system32\543drt.pif
c:\windows\system32\a.pif
c:\windows\system32\defuly screensaver.scr
c:\windows\system32\defuly.scr
c:\windows\system32\dfgfhhhhh.pif
c:\windows\system32\email me.pif
c:\windows\system32\erte564t.pif
c:\windows\system32\fddgfsdf.pif
c:\windows\system32\fdgfd.pif
c:\windows\system32\fdsfdsre.pif
c:\windows\system32\firewall.pif
c:\windows\system32\gj676t.pif
c:\windows\system32\hhhhhhggg.pif
c:\windows\system32\infected.exe
c:\windows\system32\internet explorer support.exe
c:\windows\system32\msblast blocker.pif
c:\windows\system32\msn messenger.exe
c:\windows\system32\net work.pif
c:\windows\system32\net worker.exe
c:\windows\system32\net worker.pif
c:\windows\system32\net worker.scr
c:\windows\system32\new games.pif
c:\windows\system32\please email me.pif
c:\windows\system32\ret5476yhg.pif
c:\windows\system32\retr5436.pif
c:\windows\system32\rsfdfsddfff.pif
c:\windows\system32\sasad.pif
c:\windows\system32\send this file.pif
c:\windows\system32\send.pif
c:\windows\system32\windows system file.pif
c\ntuser3.exe
d:\ntuser3.exe
e:\ntuser3.exe
f:\ntuser3.exe
g:\ntuser3.exe
h:\ntuser3.exe
i:\ntuser3.exe
j:\ntuser3.exe
k:\ntuser3.exe
l:\ntuser3.exe
m:\ntuser3.exe
n:\ntuser3.exe
o:\ntuser3.exe
p:\ntuser3.exe
q:\ntuser3.exe
r:\ntuser3.exe
s:\ntuser3.exe
t:\ntuser3.exe
u:\ntuser3.exe
v:\ntuser3.exe
w:\ntuser3.exe
x:\ntuser3.exe
y:\ntuser3.exe
z:\ntuser3.exe
Además, se copia a si mismo en el directorio actual (donde se encuentra al ejecutarse) y en la siguiente carpeta, con uno o más de los nombres que se indican más abajo:
c:\documents and settings\mark\my documents\shared\
Nombres:
1.exe
1.pif
1.scr
chris me bom boy.exe
data.pif
die.exe
happy screensaver.exe
heavy k's advanced nick changer.exe
homework.exe
info.exe
jim.exe
lee is fat.exe
msn plus v 4.exe
my screensaver.scr
new game.scr
new program muse see.exe
new project.exe
new screensaver.scr
oliver and chris.exe
olivers gay pic.exe
project1.exe
No posee rutina de propagación por Internet, pero un archivo infectado podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargado de sitios maliciosos, o a través de redes P2P.
Reparación manual
Antivirus
Para la limpieza de este gusano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Anti Virus and Firewall
3. Pinche en la carpeta "Anti Virus and Firewall" y bórrela.
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|