NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

NUEVO VIRUS VBS / NUMGAME @ MM , altamente destructivo en ordenadores con Windows 95 / 98, modificando el AUTOEXEC.BAT de toda la Red (Intranet), y se propaga a través de e-mail masivo a todas las direcciones de la libreta de Outlook

Llega en un e-mail con fichero anexado tipo HTML o VBE que al abrirlo aparenta ser un juego, en formato web si es desde el HTML o por ejecución si es desde el VBE

Nombre de virus: VBS / NUMGAME @ mm
Alias conocidos: NUMGAME.A

Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Activación: Cambia la fecha a 8 de Abril de 1981 y modifica el AUTOEXEC.BAT para borrar los ficheros y carpetas predefinidos, y oculta el escritorio y anula el SFC.EXE
Propagación: Por envío de e-mails infectados a listas de Outlook
Detección: DATS 4187
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de un nuevo virus que llega por e-mail, con fichero anexado GuessGame.HTML o bien GuessGame.VBE, con el siguiente formato:

Asunto: Are you (nombre destinatario) my valentine?
Texto: Hi (nomre destinatario) my valentine, remember me? I ain't seen you in ages! Anyway, check-out and play the attached guess-the-number-game to guess who I am. See you soon, bye-bye!

Adjunto: GuessGame.html (21,194 bytes)
o Adjunto: GuessGame.vbe (12,972 bytes)

Si se ejecuta el fichero anexado, y se acepta cargar controles ActiveX, el virus se instala en el ordenador creando en C:\Windows\System tres ficheros GuessGame, un VBE, un VBS y un BAT, este último para cambiar la fecha del ordenador a 8 de Abril de 1981

Cambia dos claves en el registro de sistema para deshabilitar la operatividad del SFC.EXE, y para anular la visualización del escritorio de Windows.

Luego borra del directorio raiz todos los archivos y subcarpetas que encuentre en las siguientes carpetas:

Desktop, Inetpub, MyDocuments (Mis documentos), Program Files (Archivos de Programa), System, Temp, Windows, Windows\COMMAND, Windows\INF, Windows\SYSBCKUP

Luego modifica el AUTOEXEC.BAT del ordenador local y de todas las unidades de Red (en los sistemas que lo usen), de forma que en el siguiente reinicio de Windows, borre todos los ficheros con las siguientes extensiones, de las carpetas antes indicadas:

Asp, aspx, cab, com, cpl, dat, dll, doc, drv, exe, hta, htm, html, inf, ini, jpg, mdb, mp3, ocx, ppt, sys, txt, vxd, xls,

Además, el virus borra otras claves de registro de sistema, que serán restablecidas con una reinstalación de Windows, por lo que esta será necesaria salvo que se tenga un backup de la máquina que incluya el SYSTEM.DAT y el USER.DAT, donde residen los datos del registro de sistema. Las otras claves que borra el virus son:

HKCU\Control Panel\
HKCU\InstallLocationsMRU\
HKCU\Software\Microsoft\Internet Explorer\
HKCU\Software\Microsoft\Office\
HKCU\Software\Microsoft\Windows\
HKCU\Software\ODBC\
HKLM\Enum\
HKLM\Software\Microsoft\Internet Explorer\
HKLM\Software\Microsoft\Office\
HKLM\Software\Microsoft\Windows\
HKLM\System\

Tas ello el virus propone un juego de adivinar números, pero se haga lo que se haga, ya ha actuado, habiendo borrado ficheros, carpetas y claves de registro.

Evidenrtemente si el virus ya ha actuado en la forma indicada, a pesar de que el antivirus podrá eliminar el virus, para restaurar los ficheros borrados deberá procederse a sustituirlos del original o copia de seguridad o reinstalando Windows y demás aplicaciones.

Para que una vez reinstalado Windows, queden restauradas las dos claves de registro de sistema indicadas al principio, y pueda accederse al escritorio, así como que quede operativo el SFC.EXE, hemos añadido la normalización de dichas claves en el fichero UNDO31.REG, el cual podrá ejecutarse desde inicio/ejecutar, incluso desde la disquetera, pues hasta después de su ejecución no se verá nada en el escritorio. Dicha herramienta está disponible en DESCARGAS / UTILIDADES SATINFO de nuestra web www.satinfo.es


Por último recordamos tener presentes las 4 REGLAS DE ORO:

1.- TENER EL ANTIVIRUS ACTUALIZADO EN TODAS LAS MAQUINAS.

2.- TENER APLICADOS LOS ULTIMOS PARCHES DE MICROSOFT

3.- NO ABRIR LOS FICHEROS NO SOLICITADOS, RECIBIDOS ADJUNTOS A LOS E-MAIL, AUNQUE SEAN DE PERSONAS CONOCIDAS

4.- NO VISITAR WEBS "RECOMENDADAS" EN E-MAILS O EN MENSAJES RECIBIDOS POR INTERNET.

SATINFO, VIRUSCAN SPAIN SERVICE 26 de Febrero de 2002

Anterior