Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Assarm. Responde a todos los mensajes no leídos
 
VSantivirus No. 760 - Año 6 - Miércoles 7 de agosto de 2002

W32/Assarm. Responde a todos los mensajes no leídos
http://www.vsantivirus.com/assarm.htm

Nombre: W32/Assarm
Tipo: Gusano de Internet
Alias: WORM_ASSARM.A, W32.Assarm@mm, W32.ASSARM@MM, ASSARM.A
Plataforma: Windows 32-bits
Tamaño: 69,632 bytes
Fecha: 4/ago/02

Este gusano se propaga en forma masiva a través del correo electrónico, respondiendo a todos los mensajes no leídos en las carpetas de mensajes del Outlook y Outlook Express.

Por lo tanto los mensajes enviados tienen esta característica:

Asunto: Re: [asunto del mensaje original]

Texto:
[nombre de la computadora del sistema infectado] wrote:
====
[mensaje original]

Si la longitud del mensaje original es menor de 512 caracteres, el gusano añade un espacio. Si es igual o mayor, añadirá 3 puntos (...) seguido de lo siguiente:

[dirección de correo del usuario infectado]
[2 líneas de texto en koreano]
[dirección de correo del usuario infectado]
[2 líneas de texto en koreano]

Como datos adjuntos, se incluye al azar uno de los que se indican en la siguiente lista (también puede ser uno de 11 archivos cuyos nombres incluyen texto en koreano):

opinion.exe
images.exe
card.exe
click.exe
Game.exe
news_doc.exe
data.exe
click.exe
Card.EXE
bill.exe
mp3.exe
docs.exe
humor.exe
Flash.exe
fun.exe
demo.exe

Cuando se ejecuta por primera vez, el gusano crea una copia de si mismo en el directorio de Windows:

C:\Windows\SVCHOST.EXE

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).

El gusano también agrega la siguiente entrada al archivo WIN.INI, bajo la sección [windows], con la intención de autoejecutarse en cada reinicio del sistema:

[windows]
run = C:\Windows\SVCHOST.EXE

Cada vez que se ejecuta, el virus busca la existencia del archivo SVCHOST.EXE. Si la búsqueda es positiva, el gusano se ejecuta como un servicio. De lo contrario despliega una ventana de mensajes con el siguiente texto:

___ ____ 2002-03-05 ___ 12:23_ ____ _____

"FineArt ActiveX Control"_[_]____ ___________?

amateras co.

VeriSign Commercial Software Publishers CA_[_]____
____ ______.

__:amateras co._[_]_____ ______.

amateras co._[_]____ _____ _ ___ ___
__ __ ____.

[ ]amateras co._ ____ __ __

[   OK   ] [   Cancel   ] [   About   ]

Pulsar los botones OK (Aceptar), o ABOUT (Acerca de..) de esta ventana, causa el cuelgue del gusano. Si en cambio se pulsa el botón CANCEL, se muestra otra ventana de diálogo con el siguiente texto:

ActiveX Control damaged:
file C:\_VIRUS\ASSARM\ASSARM.EXE: Bad CRC number.
Possible cause: file transfer error.
[   OK   ]

El gusano no envía mensajes infectados si la fecha actual corresponde a un lunes o a un jueves de cualquier mes, y la hora actual es mayor a las 5.00 AM o 5.00 PM (no se envía si se ejecuta entre las 5 y las 12.00, o entre las 17.00 y las 24.00). En este caso, en lugar de reenviar los mensajes infectados, muestra la siguiente ventana de texto que incluye un logo de ‘World Cup Korea 2002’, y luego cuelga al sistema completo:

[Formatting]
2002
WORLD CUP KOREA
[2 líneas de texto en koreano]
Korea Team Fighting! - by assa

En el código del gusano, se encuentra el siguiente texto:

Hello AceRyu!

El código del virus acepta como parámetro la siguiente cadena:

Install Me!


Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en 'Buscar en:' la unidad 'C:', y de tener seleccionada la opción 'Incluir subcarpetas'

3. En 'Nombre' ingrese (o corte y pegue), lo siguiente:

Svchost.exe

4. Haga clic en 'Buscar ahora' y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione Todos los archivos y carpetas

3. En 'Todo o parte del nombre' ingrese (o corte y pegue), lo siguiente:

Svchost.exe

4. Verifique que en 'Buscar en:' esté seleccionado 'C:'

5. Pinche en 'Opciones avanzadas'

6. Seleccione 'Buscar en carpetas del sistema'

7. Seleccione 'Buscar en subcarpetas'

8. Haga clic en 'Buscar ahora' y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Borrar entrada en WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Si existe la siguiente entrada en la línea "run=" bajo la sección [windows], bórrela.

Por ejemplo:

[windows]
run = C:\Windows\SVCHOST.EXE

Debe quedar como:

[windows]
run =

3. Grabe los cambios y salga del bloc de notas.

4. Reinicie la computadora, actualice sus antivirus, y proceda a hacer un examen de todos sus archivos y carpetas.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS