NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Nuevo virus por Messenger (Postal563) que sobreescribe ficheros

Nombre de virus: Generic BackDoor.f
Alias conocidos:
Win32.VB.S, Trj/Mepe.A
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Propagación:
Messenger
Activación: Por acceder al link que proponen
Detección: desde DATS 4586
Motor necesario: desde 4.4.00
Infección actual:
Inicial (Inicial, Media, Elevada)

Nuevo virus que se está propagando por messenger especialmente en países de habla hispana. Llega en un mensaje con el siguiente texto:

"te mandaron un recado conmigo, ya te has de imaginar quien y si no sabes me dijo que no te dijera quien, me dijo que te lo escribio en una postal y que de aqui la abras www.postalesdamor.miarroba.com.[omitido], bueno yo ya cumpli e? "

Propagación

Utiliza aplicaciones de mensajeria instantánea, el virus busca ventanas activas con el titulo "Conversación" e intenta enviar el mensaje anteriormente comentado. Por el hecho de abrir la supuesta postal, aparece un mensaje de ERROR, que lo muestra el mismo virus, y acto seguido ya inicia su tarea.

 

Acciones

Entre otras acciones, sobreescribe con su código todos los ficheros que no tengan atributo de sólo lectura (R), oculto (H) o de sistema (S) , tanto del directorio raíz del disco duro, como de los disquetes que hubiera en la disquetera sin protección contra escritura repetitivamente, manteniendo el mismo nombre del fichero y su icono, pero añadiéndoles extensión EXE a la que ya tuvieran, de forma que un fichero NOMBRE.BAT se transforma en NOMBRE.BAT.EXE, de este modo cuando son ejecutados en realidad ejecutamos el virus.

Esto es especialmente grave en antiguos sistemas operativos como Windows 95, 98 y Me, pues se sobrescribe con el virus los ficheros COMMAND.COM, AUTOEXEC.BAT y CONFIG.SYS entre otros, con lo que el equipo ya no arranca,

Y si no se tiene cuidado, aun después de eliminar el virus del disco duro, puede quedar en los disquetes que han sido insertados en la disquetera durante la infección (el virus mantiene el nombre, la primera extensión y el icono), por lo tanto si se intenta ejecutar un fichero de dicho disquete volvería a infectarse el sistema.

Crea una clave de desactivación del TASKMANAGER, con lo cual ni pueden verse los procesos activos ni se pueden detener.

Genera en C:\ un fichero llamado "CONFESIONAL.TXT" con el siguiente texto:

"Dios solo nos dio un 1 y un 0 y con eso, hemos construido un universo"

Paralelamente, con el virus en memoria, inhabilita el "Registro de sistema", "Panel de Control", "Administrador de sistemas", "Utilidad de configuración del sistema" y "Restaurar Sistema" con el fin de que el usuario no pueda finalizar el virus.

La ejecución de este virus crea en la carpeta \drivers\etc\ que cuelga de la de sistema, el fichero "JESSE.EXE" (en los sistemas que tienen dicha ruta, W9x y Me no la tienen), cargándose en posteriores reinicios desde una clave RUN del registro que llama a dicho fichero. En los sistemas que no la tienen, hace la función de sobrescribir los ficheros, pero ya no vuelve a cargarse en los siguientes arranques al no existir ni la ruta de carga ni el fichero, aparte de que ya no arrancarían por falta del COMMAND.COM , aunque exista en su lugar un COMMAND.COM.EXE que es el propio virus sobreescrito en dicho fichero.

 

Detección y eliminación

McAfee lo controla desde la tarde del mismo día que le enviamos la muestra, con los DAT 4586 y el nombre de Generic BackDoor.f , pero nosotros ya nos adelantamos ofreciendo en nuestra web desde las 12 del mediodía del día 20/09/05 la utilidad ELIJESSE.EXE que detiene el proceso vírico y sus acompañantes, restaura las claves de acceso al TASKMANAGER, elimina la de carga del fichero vírico en el RUN, elimina el fichero JESSE.EXE y todos los sobrescritos por el virus, dejando el ordenador limpio de virus y con las claves restauradas.

Los ficheros sobrescritos, borrados en consecuencia, deben ser restaurados a partir del original o copia de seguridad, quedando un informe de las acciones de dicho proceso de eliminación en C: \INFOSAT.TXT para que el usuario pueda ir restableciendo los ficheros eliminados.

El virus se controla desde los DAT 4586, para su eliminación se recomienda ejecutar nuestra utilidad ELIJESSE.EXE.

 

SATINFO, VIRUSCAN SPAIN SERVICE 22 de Septiembre de 2005

Anterior