Nuevo Virus W32/Socay @ MM , gusano, troyano y backdoor que se controla desde DATS 4245 y engine 4.1.60, de propagación masiva a través de e-mail en castellano con fichero infectado.

Se trata un gusano que al propagarse masivamente por e-mail y llegar en castellano, puede infectar muchos ordenadores en nuestro pais, y a pesar de ser facilmente identificable, causar estropicios.

Se propaga mediante envio masivo de e-mails a direcciones de la libreta del Outlook, figurando como Asunto VISA DE TRABAJO, llevando como fichero adjunto uno de los existentes en el ordenador infectado, pero sobreescrito con el código vírico.

Por otro lado, el texto del mensaje es FIJATE EN LO QUE TE MANDO A VER SI TE GUSTA YACONET MASTER.

Cuando se ejecuta el fichero infectado adjunto al mail, el virus sobreescribe con su código vírico el fichero SCANREGW.EXE existente en el directorio de Windows, por lo que este fichero siempre cargará el virus, y el antivirus lo borrará, por lo que deberá sustituirse por original o copia de seguridad, o bien copiarlo de otra máquina que tenga la misma versión de Windows y no esté infectada..

A continuación el virus crea una clave en el registro de sistema, que cargará este fichero en cada reinicio del sistema, poniendo en marcha el virus cada vez que arranque Windows.

HKLM\Software\Microsoft\Windows\CurrentVersion/\Run\"ScanRegistry" = =%WinDir%\ScanRegw.exe

Al ejecutar este fichero intenta copiarse en disquetera A: con el nombre :

VISA DE TRABAJO .EXE

Separando el nombre del fichero de su extensión para dificultar que el usuario vea que es un fichero ejecutable, y asi ejecutarlo sin saber que realmente es un ejecutable, pero lo que hará será cargar el virus.

A contuación opera como BackDoor, a través del puerto 8250, y empieza a autoenviarse por e-mail.

Con él residente, permite remotamente ejecutar y borrar ficheros, abrir cajas de dialogo, cerrar y reiniciar Windows, abrir y cerrar la bandeja del CDROM, capturar entradas de teclado, mover el cursor del mouse, e incluso formatear el disco duro.

COMO ELIMINAR EL VIRUS

Se controla desde DATS 4245 y engine 4.1.60, ya existente en nuestra web, www.satinfo.es y para su eliminación hemos creado la utilidad ELISOCAY.EXE, que detendrá el virus en memoria, restaurará la clave de registro y borrará el SCANREGW.EXE. Lógicamente el usuario deberá restaurar dicho fichero SCANREGW.EXE copiándolo del original, copia de seguridad o de otra máquina limpia con el mismo sistema.

INFORMACION ADICIONAL SOBRE NUEVO VIRUS DESTRUCTIVO: W32/SAHAY@mm

Recibimos noticias de otro nuevo virus de nombre W32/SAHAY, ya controlado por la versión actual del antivirus, que llega masivamente por e-mail o IRC (CHAT) anexando un fichero de nombre MathMagic.scr, y cuya ejecución hace copia de sí mismo en C:\, y genera otro fichero de nombre YAHASUX.EXE en directorio de sistema de Windows, y otro YAHASUX.VBS en el de Windows, creando dos claves de registro que llaman a ambos en cada reinicio. Este virus borra el virus YAHA, pero crea este otro, y sobreescribe la cabecera de todos los ejecutables del directorios de Windows y de MIRC, debiendo, tras eliminar el virus y las claves, reinstalar el sistema operativo y el MIRC para volver a recuperarlos, o restaurarlos de una copia de seguridad. No hemos tenido incidencias en España, pero cuidado con ejecutar anexados. !!!

Hemos creado la utilidad ELISAHAY para restaurar claves y eliminar gusano, pero se deberán luego borrar los ficheros sobreescritos por el virus y después restaurarlos por los originales.

SATINFO, VIRUSCAN SPAIN SERVICE Barcelona, 30 Enero 2003

Anterior