SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA
|
|
| |
SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA |
|||
| www.satinfo.es | |||
A través de una muestra recibida, nos ha llegado un fichero con el nombre de ANGELICASEXY1986.EXE
Síntomas:
El icono parece ser el de un video, pero su ejecución no visualiza ningún video, sino mensajes antipedófilos (entre otros) e infecta el ordenador muy sencillamente pero con mala intención:
Elimina la clave de carga del EXPLORER.EXE y pone en su lugar un LOOK1986.EXE que antes de llamarlo, presenta una entrada de password durante 60 segundos y, si no se le entra, lanza un shutdown, y como que aun no ha cargado el EXPLORER, no se tiene acceso al reloj (para atrasar la hora) ni al botón de Inicio, para ir a INICIO | Ejecutar y escribir "Shutdown -a" para anular la cuenta atrás del reinicio.
Evidentemente desactiva el Task Manager para que no se pueda detener el proceso, y si además se borra el fichero malware, al no haber ya en el registro la llamada al EXPLORER, el ordenador no lo lanza y el sistema queda inoperante.
A título de información, ofrecemos estos datos del malware:
Pide $100 para la solución ! entre otros mensajes antipedofilos, a saber:
TEXTOS CONTENIDOS EN EL MALWARE, que su autor escribió:
________
POR CALENTURIENTO Y PEDOFILO ABRISTE ESTE VIDEO, PARA DESBLOQUEAR ESTA COMPUTADORA COMPRA UNA TARJETA Ó FICHA DE $100 PESOS AMIGO DE TELCEL, RASPALA Y ENVIAME LOS NUMEROS A anahyperez96@hotmail.com Y TE DEVOLVERE EL MENSAJE CON EL CODIGO DE DESBLOQUEO. ¡ A V I S O !
N o m e a s u s t a s , l a j u r i s d i c c i o n d e t u p a i s n o l
l e g a a d o n d e e s t o y !
1 4 2 5 0 ¦ E s t e c o d i g o y a f u e u s a d o i g u a l q u e l a f
i c h a q u e m a n d a s t e , ¡ m a n d a u n a f i c h a s i n u s a r
!
1 3 2 7 8 Ò E s t e c o d i g o e s i n c o r r e c t o a l i g u a l q u
e l a f i c h a q u e m a n d a s t e , ¡ e n v i a l a d e n u e v o s i
n e r r o r e s d e e s c r i t u r a !
7 6 4 8 2 Š r e g d e l e t e h k c u \ s o f t w a r e \ m i c r o s o f
t \ w i n d o w s \ c u r r e n t v e r s i o n \ p o l i c i e s / f $ D
u d a s n o c o n o s c a e l c o d i g o o q u e n o t e l o d e ? , c o
m o p o d r a s v e r c o n o s c o b i e n e s t e p r o g r a m a y s e
c u a l e s e l q u e l o d e s b l o q u e a , ¡ p o r q u e y o l o d i
s e ñ e !
8 9 4 7 3 ( T u r e g i o n n o e s l a 9 C l a v e I n c o r r e c t a I
n t r o d u c e l o s d o s p r i m e r o s n u m e r o s d e t u C o d i
g o P o s t a l
CODIGO POSTAL DE TU REGION DETECTADO, PARA CONFIRMAR EL DESBLOQUEO
INTRODUCE LOS DOS PRIMEROS NUMEROS DE TU CODIGO POSTAL, SI SON INCORRECTOS
TU PC QUEDARA PERMANENTEMENTE BLOQUEADA.
¡ A V I S O !
Envia un email para desbloquear
______
El virus esta creado en Visual Basic, usa la librería MSVBVM60.DLL y el fichero look1986.exe, que crea en la carpeta de sistema, su zona de origen parece ser México, por el texto de sus mensajes... :
(Telcel es una marca propiedad de Radiomovil DIPSA mexicana dedicada a la comercialización de telefonía móvil y datos inalámbricos. Tiene presencia en todo México. Es subsidiaria de la empresa mexicana América Móvil, una filial de CARSO Holding Telecom. -Fuente Wilkipedia-)
Cabe señalar que en la actualidad prácticamente ningún antivirus lo controla, dada su novedad, si bien hoy mismo se envía copia a McAfee para su inclusión en próximos DAT.
Eliminación:
Hemos resuelto el
problema a partir del ELISTARA actual, que restaura la clave modificada, elimina
el malware y repone el acceso al Task Manager, para ello simplemente se ha de
arrancar en “Modo seguro con solo símbolo de sistema” para lanzar nuestra
utilidad.
Pulse aquí para descargar EliStarA
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 10 de Octubre de 2008