NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


NUEVO VIRUS W32/REXLI @ MM: Virus dañino, sobreescribe todos los *.VBS y fichero de sistema rexec.exe, además de tener payload destructivo al cabo de 101 ejecuciones, borrando ficheros críticos como WIN.COM, HIMEM.SYS, IFSHLP.SYS y sustituyendo el INTERNAT.EXE por el virus.

Se autoenvía a través de e-mail masivo con título Cool linki y texto en polaco, anexando fichero infectado LINKI.EXE, cuya ejecución infecta al ordenador.

Nombre de virus: W32/Rexli @ MM
Alias conocidos: W32/Rexli.A , W32/Rexli.VBS
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Por ejecución del fichero anexado LINKI.EXE, y tras 100 reinicios
Propagación: .Por envío masivo de mails, a listas de Outlook y por IRC,(mirC)
Detección: DATS 4186
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de un nuevo virus que se propaga masivamente autoenviandose a toda la lista de libreta de direcciones del Outlook, y a través de IRC si se tiene instalado el mirC. Llega en un e-mail en polaco de las siguientes características:


Asunto:

Cool linki

Texto:

Przesy?am ci znalezion? baz? danych linków. Jest tam du?o stron, których na pewno nie znasz :)

Adjunto:

LINKI.EXE

Este virus sobreescribe todos los ficheros VBS con una llamada al código vírico, por lo cual deben borrarse y ser restaurados desde la copia de seguridad. Además crea dos claves en el registro de sistema, una para almacenar el contador de ejecuciones y otra para ejecutar el contador en cada reinicio de Windows.

Para ejecutar el virus en cada reinicio, este virus modifica el WIN.INI cargando el REXEC.EXE en la linea de load=, desde el directorio de sistema de Windows.

Para su propagación a través de IRC, modifica el SCRIPT.INI para autoenviarse a través de los canales del chat.

Tras haber sido ejecutado 100 veces, modifica el AUTOEXEC.BAT añadiendo la ejecución de C:\RBATC.BAT que analizará la versión utilizada de Windows para saber la ubicación de ficheros y en el próximo reinicio, borrará los ficheros WIN.COM HIMEM.SYS y IFSHLP.SYS, y renombrará el INTERNAT.EXE por INTERNAT.BAK, y copiará el infectado RAPP.EXE como INTERNAT.EXE.

Se controla desde DATS 4186, y para su eliminación ofrecemos la utilidad ELIREXLI.EXE, disponible en las utilidades de nuestra web www.satinfo.es (recordamos que con todas las utilidades debe desactivarse el VSHIELD residente, pulsando botón derecho del mouse sobre el escudo (icono con la V o la N) de la barra de inicio, seleccionando SALIR o DESACTIVAR).

Tras ejecutar el ELIREXLI.EXE, deberán restaurarse los ficheros *.VBS desde la copia de seguridad, y reemplazar el fichero sobreescrito (y borrado) REXEC.EXE en el directorio de sistema de Windows. En el caso de que ya no arranque Windows, por haberse activado el payload tras 100 reinicios, copiar el WIN.COM en el directorio de Windows, (%Windir%), el HIMEM.SYS tanto en %Windir% como en %Windir%\Command\EBD y también en %Windir% el IFSHLP.SYS. También debe comprobarse que el fichero INERNAT.EXE (renombrado a BAK por el virus), esté operativo y limpio de virus, si bien la ejecución de nuestra utilidad ELIREXLI.EXE ya intentará recuperar el INTERNAT, como de restaurar el AUTOEXEC.BAT y el WIN.INI, y de eliminar las claves de registro víricas, borrando los ficheros gusanos. Por ultimo comprobar con VirusScan que el ordenador ha quedado totalmente limpio de virus.

 

SE RECUERDA UNA VEZ MAS QUE NO SE DEBE EJECUTAR NINGUN FICHERO NO SOLICITADO QUE LLEGUE ADJUNTO A UN E-MAIL, AUNQUE VENGA DE UNA DIRECCION CONOCIDA, pues son los virus los que los autoenvían sin conocimiento del usuario

 

 

 

SATINFO, VIRUSCAN SPAIN SERVICE 14 de Febrero de 2002

Anterior