SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Variante del virus Navidad que autoenvía fichero gusano EMANUEL.EXE
Nombre de virus: W32/Navidad.e @ M
Alias conocidos: Emanuel, Emmanuel
Riesgo Infección:Alto (Bajo, Alto, Muy Alto)
Activación: Al reiniciar Windows, apareciendo una flor al ejecutar un EXE
Propagación: Envía mail a todas las direcciones Outlook anexando gusano
Detección: Desde DATS 4109
Motor necesario: Engine 4.0.70 o superior
Infección actual: Inicial (Inicial, Media, Elevada)
Es un gusano que se recibe a través de e-mail con un anexado EMANUEL.EXE
A diferencia del virus NAVIDAD inicial, éste pone en el registro de sistema, la ejecución del fichero WINTASK.EXE, y en el directorio de sistema de windows crea dicho fichero, por lo que en el siguiente reinicio, se ejecuta el gusano y queda residente en memoria controlando la ejecución de todos los ficheros EXE, mostrando una flor en la barra de tareas, por cada fichero que se ejecuta.
La solución viene dada por corregir el
registro de sistema y eliminar el fichero en cuestión, si bien ello puede ser mas o menos
difícil según que el ordenador pueda o no procesar ficheros VBS. Si tiene Internet
Explorer 5, procede pulsar doble clic sobre el fichero ELINAVIE.VBS, lo que corregirá el
registro y, tras el próximo reinicio, podrá borrarse el fichero Wintask.exe. Si no se
tiene, y el fichero no ha sido borrado, se podrá intentar ejecutar el ELINAVIE.EXE (*).
Por último, si no se puede ejecutar VBS y se ha borrado el fichero (manualmente o con el
SCAN), deberá copiarse el Elinavie.exe con el nombre de Wintask.exe, en el directorio de
sistema de Windows, y ejecutarlo. Con lo que se ejecutará realmente el Elinavie.exe,
restaurando el registro, y borrandose a sí mismo.
(*) En ordenadores sin Outlook, puede haber
el fichero y no ‘poder ejecutar ningún EXE. En tal caso, borrar el Wintask.exe y
ejecutar el UNDO.REG
Los ficheros ELINAVIE.EXE y ELINAVIE.VBS están dentro del apartado de utilidades de nuestra web, www.satinfo.es, empaquetados en el fichero ELINAVIE.ZIP, el cual deberá desempaquetarse y utilizar la herramienta apropiada, según indicado. El UNDO.REG está en todos los disquetes de actualización, además de estar en el directorio de utilidades de nuestra web.
Desde los DATS 4109 y engine 4.0.70 ya se
controla este gusano, por lo que simplemente se debe tener actualizado el antivirus con el
último disquete de actualización enviado (DATS 4109). Si no se hubiera recibido, basta
con bajar de nuestra web, www.satinfo.es, el fichero DATS4xxx.ZIP al directorio C:\DATS y
proceder con AUTOUPDATE. Si se quiere optimizar el antivirus al último engine (motor de
exploración), procede bajar el SDAT4xxx.EXE y ejecutarlo.
SATINFO, VIRUSCAN SPAIN SERVICE 9-1-2001
