Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Aphex (Aplore). Instala un servidor Web en nuestro PC
 
VSantivirus No. 641 - Año 6 - Martes 9 de abril de 2002

W32/Aphex (Aplore). Instala un servidor Web en nuestro PC
http://www.vsantivirus.com/aphex.htm

Nombre: W32/Aphex
Tipo: Gusano de Internet
Tamaño: 319,488 Bytes
Fecha: 9/abr/02

Alias:

W32.Aphex@mm
Bloodhound.VBS.Worm
I-Worm.Aphex
WORM_PSECURE.A
Worm.PSecure
W32/Explorer
W32/Aplore@MM
W32/Aplore@MM
W32/Aplore.A@mm
Win32.Aplore.A@mm
WORM_APLORE.A

Se trata de un gusano de envío masivo, capaz de reenviarse a todos los contactos de la libreta de direcciones de Windows. También utiliza los canales de IRC para propagarse.

Comprimido con la utilidad UPX y programado en Borland Delphi, el gusano utiliza el Visual Basic Script para propagarse a través de mensajes infectados vía Outlook.

Está originado en un sitio malicioso que incita al visitante a bajar y ejecutar el código del virus, un ejecutable que al ser descargado y ejecutado, muestra un mensaje falso.

También modifica el registro de Windows, libera otros archivos y se copia a si mismo en el directorio System de Windows.

Permanece en memoria y envía mensajes publicitarios a los usuarios conectados al mismo canal de IRC que visite la víctima infectada. Estos mensajes intentan hacer creer a los usuarios que se trata de una página con contenido pornográfico.

FREE PORN: http://free:porn@x.x.x.x:8180

El gusano instala un servidor Web en la máquina infectada (puerto 8180), y a esa dirección se conecta el navegador con el URL visto arriba, mostrando esta página:

Browser Plugin Required:

You may need to restart your browser for changes to take affect.
Security Certificate by Verisign 2002.
MD5: 9DD756AC-80E057FC-E00703A2-F801F2E3

Click HERE and choose "Run" to install.

Si el usuario hace clic sobre el enlace, se produce la descarga del gusano.

El gusano se conecta al servidor IRC.DAL.NET en el puerto 6667 y se pone a la escucha en el puerto 113 en espera de comandos remotos. Tiene la capacidad de enviar mensajes al AOL Instant Messages, el mensajero instantáneo de America On Line.

Una vez en la máquina infectada, el virus genera los siguientes archivos:

C:\Windows\System\EXPLORER.EXE
C:\Windows\System\PSECURE20X-CGI-INSTALL.VERSION6.01.BIN.HX.COM
C:\Windows\System\EMAIL.VBS
C:\Windows\System\INDEX.HTML
C:\Windows\System\APHEX.JPG
C:\Windows\System\HWND32.DLL

Los dos primeros son copia del propio gusano.

El archivo EMAIL.VBS es un script usado para la propagación vía e-mail

El gusano también crea un archivo IPHIST.DAT de cero bytes, en la carpeta donde se ejecute el gusano.

También crea la siguiente entrada al registro para su ejecución automática en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Explorer = C:\Windows\System\EXPLORER.EXE

El gusano ejecuta el archivo EMAIL.VBS con la utilidad WSCRIPT.EXE de Windows (el Windows Scripting Host), para enviar copias de si mismo a toda la libreta de direcciones como ya dijimos.

Los mensajes enviados tienen estas características:

Asunto: .
Texto del mensaje: .
Datos adjuntos: psecure20x-cgi-install.version6.01.bin.hx.com

Asunto y texto, solo incluyen un punto. El largo nombre del adjunto, intenta disimular se trata de un ejecutable (.COM), haciéndose pasar por la dirección HTML de un sitio .COM

También libera el archivo INDEX.HTML, una página Web que intenta descargar y ejecutar el código del virus (el archivo psecure20x-cgi-install.version6.01.bin.hx.com en la carpeta Windows\System).

La página muestra el mismo texto que vimos antes:

Browser Plugin Required:

You may need to restart your browser for changes to take affect.
Security Certificate by Verisign 2002.
MD5: 9DD756AC-80E057FC-E00703A2-F801F2E3

Click HERE and choose "Run" to install.

El virus libera por último la imagen Aphex.jpg en C:\Windows, e intenta propagarse vía IRC.

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por W32/Aphex, y los mensajes recibidos que contengan el virus.

4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\Windows\System\EXPLORER.EXE
C:\Windows\System\PSECURE20X-CGI-INSTALL.VERSION6.01.BIN.HX.COM
C:\Windows\System\EMAIL.VBS
C:\Windows\System\INDEX.HTML
C:\Windows\System\APHEX.JPG
C:\Windows\System\HWND32.DLL

5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Explorer      C:\Windows\System\EXPLORER.EXE

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Recomendamos utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión de este gusano con Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificado: 10/abr/02

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS