VSantivirus No. 517 - Año 6 - Viernes 7 de diciembre de 2001
Nombre: W32/Updatr
Tipo: Gusano de Internet
Alias: W32/Updatr@MM, I-WORM.IMELDA, I-Worm.Updater, W32/Updatr.vbs, W32/Updatr.A
Tamaño: 12,288 bytes
Fecha: 6/dic/01
Es un gusano con capacidad de propagación masiva de mensajes infectados a través de Internet, enviándose a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.
Escrito en Visual Basic 6, se trata de un archivo .EXE de aproximadamente 12Kb, comprimido con la utilidad UPX.
También crea archivos en formato Visual Basic Script (VBS), capaces de copiarse en todas las unidades de disco locales y las mapeadas en red.
Como para enviarse por correo electrónico, el gusano utiliza los campos
Para: y CCO:, es posible recibir los mensajes infectados por pares.
El mensaje recibido puede tener algún asunto creado a partir de la selección de un elemento de cada una de las siguientes listas:
Lista 1
Have you
You Should
Just
Why Not you
How to
Have you
Re:
Fwd :
Lista 2
Check
Check out
Watch out
Open
Look at
Lista 3
this
my
For this
The
Subject
Picture
Program
Lista 4
Report
Documment
Quotation
Transaction
Bank Account
WTC Tragedy
Osama Vs Bush
Account
Private Pic
Un asunto típico sería [lista 1]+[lista 2]+[lista 3]+[lista
4], por ejemplo:
Have you Check out For this Report
Why Not you Look at Picture WTC Tragedy
Texto del mensaje:
This is the file you ask for, Please save it to disk and
open this file, it's very important.
Archivo adjunto (alguno de esta lista):
Setup.EXE
install.exe
Readme.exe
Files.exe
Picture.exe
Quotation.Doc.exe
Letter.Doc.exe
Picture.jpg.exe
La infección ocurre cuando el usuario abre el archivo adjunto.
El gusano se envía a todos los contactos de la libreta de direcciones del Outlook, utilizando la interface de programación para aplicaciones que gestionen correo electrónico, MAPI.
Primero se copia a si mismo en la misma carpeta de Windows, con el nombre de
UPDATE.EXE:
C:\WINDOWS\Update.exe
Luego, crea la siguiente clave en el registro, a los efectos de ejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Update=C:\WINDOWS\Update.exe
Finalmente, muestra una ventana de error falsa, para disimular su acción:
File Open Error
Cannot Open files : It does not appear to be a valid archive
If you Downloaded this file , try dowbkloading the file again.
[ Aceptar ]
Un archivo en Visual Basic Script es copiado en la carpeta de inicio de Windows, lo que permitirá su ejecución automática en cada reinicio del sistema:
C:\WINDOWS\MENÚIN~1\PROGRA~1\INICIO\Update.vbs
Este script, cuando se ejecuta, busca en todas las unidades de disco locales, como así también en todas las unidades mapeadas en red, todos los archivos con extensiones
.DOC, .EXE, y .TXT.
El gusano no altera esos archivos, pero guarda una copia del script en el mismo directorio donde se encuentre alguno de estos, usando el mismo nombre del archivo encontrado, con el agregado de la extensión .VBS (una acción similar a la de los virus de compañía), y también cambia la etiqueta del volumen C: del disco duro por el de
IMELDA.
Un ejemplo de archivo modificado: regedit.exe.vbs
En el décimo segundo día de cada mes, el script puede desplegar el siguiente mensaje:
VBScript: I-WORM.IMELDA.B
Hi there... you are infected by some of
IWING creations.... , have a nice day
[ Aceptar ]
Método de infección
El gusano llega como un adjunto a un mensaje, por lo tanto la solución más inmediata para no infectarnos, pasa por no abrir JAMAS archivos adjuntos no solicitados.
El virus contiene un error de programación, lo que hace que en
ocasiones, envíe alguno de los mensajes, sin adjunto alguno.
En su código, puede encontrarse este texto:
I-WORM.IMELDA.B
(C)2001, by Iwing
Virusindo - Indonesian Virus Network
Herramienta para limpiar automáticamente el Updatr
El programa AntiUpdatr
(240 Kb) contra el virus W32/Updatr es una herramienta gratuita proporcionada por
BitDefender. Sólo descárguela y ejecútela en su PC.
http://www.bitdefender-es.com/descarga/AntiUpdatrEs.exe
Cómo borrar manualmente el virus
Para eliminar manualmente el gusano, siga estos pasos:
Windows 95/98/NT/2000
1. Pinche en Inicio, Buscar, en Archivos y carpetas
2. Asegúrese de tener en la ventana "Buscar en", la unidad C:, y marque "Incluir subcarpetas"
3. En Nombre o Buscar, escriba (o use cortar y pegar) lo siguiente:
update.exe update.vbs
4. Pinche en Buscar ahora
5. Si aparece, marque Update.exe, pulse la tecla SUPR, y confirme el borrado.
6. Repita el paso 5 para el archivo Update.vbs.
Windows XP
1. Pinche en Inicio
2. Pinche en Buscar
3. Marque "Todas los archivos y carpetas"
4. En la ventana "Todo o parte del nombre", escriba:
update.exe update.vbs
5. Pinche en Buscar
6. Seleccione el archivo Symredir.dll.
Todas las versiones
1. Pinche en Inicio, Ejecutar. Escriba REGEDIT y pulse Enter
2. Localice la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
3. Pinche en la carpeta "Run". En la ventana de la derecha, busque y borre el valor que haga referencia al gusano, (ver la siguiente referencia):
Update c:\windows\update.exe
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Ejecute un escaneo de todos sus discos duros, con uno o más antivirus actualizado, y borre los archivos .VBS que puedan aparecer infectados, o ejecute la herramienta comentada antes.
Notas:
Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Glosario
Virus de compañía (companion) - Se les llama virus de compañía, a los virus que no infectan directamente a otro archivo, sino que toman su nombre, se ejecutan primero, y luego de su acción maliciosa, le pasan el control al archivo original, o sea "acompañan" al archivo que será su víctima, sin infectarlo directamente (más allá de renombrarlo).
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|