NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Nueva variante del gusano Emanuel que se está propagando en España

Nombre de virus: W32/Navidad.e-2 @ MM

Alias conocidos: W32/Emmanuel

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envía mails a las listas de Outlook anexando fichero Emmanuel.exe

Propagación: Por ejecución del fichero anexado

Detección: DATS 4144

Motor necesario: 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)

Un virus que se extendió con profusión a primeros del 2001 fue el Emmanuel Identificado por McAfee como W32/Navidad.e, el cual venía a ser una variante mejorada del anterior virus W32/Navidad, que autocontestaba emails recibidos enviando un mail anexando el fichero Navidad.exe. Este virus adolecía de un bug entre el fichero que creaba en C:\Windows\System (Winserv.vxd) y el que quería ejecutar desde el registro de sistema (Winserv.exe), impidiendo su correcto funcionamiento al no poder ejecutar el fichero requerido.

La siguiente versión anexaba el fichero Emmanuel.exe, el cual al ejecutarlo autoenviaba a todas las listas del Outlook, un mail anexando dicho fichero. Este ya acertaba entre el fichero que creaba el Windows\System y el que hacía ejecutar desde el registro de sistema, siendo dicho fichero el Wintask.exe.

Ahora acabamos de detectar una nueva versión con ligeras diferencias, por lo que, aunque no coincidan las cadenas de detección, el VIRUSSCAN puede detectarlo y el VSHIELD detenerlo, si se utilizan con la exploración heurística activada. De lo contrario es necesario la ultima versión 4144 para detectarlo.

De todas formas, ante cualquier sospecha, basta con buscar si existe el fichero Wintask.exe en el directorio de sistema de Windows. Si se tiene el virus en memoria y se ejecuta cualquier EXE, se visualizará una margarita por cada intento de ejecución de fichero EXE, sin llegar a ejecutar realmente el fichero.

Para su eliminación tenemos varios recursos: Si se tiene Windows Scripting Host (por defebto en W98 o con W95 si se ha instalado Internet explorer 5.0), ejecutar el fichero ELINAVIE.VBS , y si no se tiene, ejecutar primero el fichero UNDO.REG y tras ello el ELINAVIE.EXE. Si hay algún problema en esto último también cabe utilizar el UNDO18.REG y, tras resetear el ordenador, borrar el fichero Wintask.exe bien a mano o con el SCAN C: /CLEAN /ANALYZE. Otra posibilidad de eliminación es copiar el fichero ELINAVIE.EXE en el directorio de sistema de Windows con el nombre de WINTASK.EXE y reiniciar Windows.

 

SATINFO, VIRUSCAN SPAIN SERVICE 19-6-2001

 

Anterior