Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Atendo.A. Datos adjuntos: "Atendimento.Doc.Exe"
 
VSantivirus No. 1088 Año 7, Lunes 30 de junio de 2003

W32/Atendo.A. Datos adjuntos: "Atendimento.Doc.Exe"
http://www.vsantivirus.com/atendo-a.htm

Nombre: W32/Atendo.A
Tipo: Gusano de Internet
Alias: W32.Atendo@mm
Fecha: 27/jun/03
Plataforma: Windows 32-bit
Tamaño ATENDIMENTO.DOC.EXE: 114,343 bytes
Tamaño NAV32.EXE: 23,048 bytes
Tamaño NAV-32.EXE: 49,160 bytes
Tamaño D.EXE: 18,433 bytes

Este gusano se reenvía a los remitentes localizados en la bandeja de entrada del Microsoft Outlook y Outlook Express de la computadora infectada, en mensajes como los siguientes:

Ejemplo 1:

Asunto: [nombre de la computadora infectada]
Datos adjuntos: ATENDIMENTO.DOC.EXE

Texto: [nombre del usuario infectado]

Ejemplo 2:

Asunto: Cliente pé no saco
Datos adjuntos: ATENDIMENTO.DOC.EXE

Texto:

E aí meu, vc não dá mais notícias, tá fugido hein!!!
Lembra daquela conversa, vamos aplicar no Domingos, já que
ele nos abandonou
sds

> Anibal,
> nao atenda este cliente pois é um chato.
> o domingos falou que vai cobrar os olhos da cara se for atender.
> Tambem nao aguenta mais ele.
> ele incomada mais que tropa de camelos conforme vc disse
>
> sds
> Sidnei


>> Oi Sidnei,
>> Se este pessoal ligar, meta a faca.
>> nao aguento mais ver este pessoal.
>>
>> Amigao, um abraco
>> Anibal
---
Incoming mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grilosoft.com).
Version: 6.0.445 / Virus Database: 250 - Release Date: 25/01/03

---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grilosoft.com).
Version: 6.0.449 / Virus Database: 251 - Release Date: 25/01/03

Es un gusano de múltiples componentes, capaz de borrar varios archivos del disco duro y de suplantar los documentos de Word encontrados, haciéndolos irrecuperables.

Cuando el gusano se ejecuta por primera vez, intenta crear la siguiente carpeta (note que el nombre está en formato de nombre corto de Windows, y se encuentra indicado literalmente en su código:

C:\ARQUIV~1\NORTON~1

Luego, copia los siguientes archivos:

C:\ARQUIV~1\NORTON~1\Nav32.exe
C:\ARQUIV~1\NORTON~1\Nav-32.exe
C:\ARQUIV~1\NORTON~1\Payback.doc
C:\ARQUIV~1\NORTON~1\D.exe

Los archivos NAV32.EXE y NAV-32.EXE son los componentes que realizan las acciones de buscar y borrar archivos (el primero), y de enviarse por correo (el segundo). D.EXE es otro componente maligno que suplanta los documentos de Word por el contenido de PAYBACK.DOC. Este último es un documento de Word limpio, sin código viral alguno.

Si el gusano falla al intentar crear la carpeta mencionada, tampoco creará los demás archivos.

Si se copian exitosamente, entonces también modifica el registro para autoejecutarse en próximos reinicios:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NAV Agent-1 = C:\ARQUIV~1\NORTON~1\nav32.exe
NAV Agent-2 = C:\ARQUIV~1\NORTON~1\nav-32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
NAV Agent-1 = C:\ARQUIV~1\NORTON~1\nav32.exe
NAV Agent-2 = C:\ARQUIV~1\NORTON~1\nav-32.exe

También se copia en los siguientes archivos:

C:\Windows\System\Nav.exe
C:\ARQUIV~1\NORTON~1\Nav.exe

Y luego ejecuta estos dos componentes:

D.exe
Nav32.exe

Cuando NAV32.EXE es ejecutado, este componente modifica la siguiente clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
NAV Agent- = C:\ARQUIV~1\NORTON~1\NAV.EXE
NAV Agent-x = C:\WINDOWS\SYSTEM\NAV.EXE

Luego, NAV32.EXE busca y borra archivos que contengan la siguiente cadena en su nombre, en todos los discos duros y unidades lógicas:

wpe
winp
wpto
wpnt
top
pst
dbx
doc
mdb
xls
exe

Si el archivo encontrado, contiene la cadena "doc" en su nombre, el gusano reemplaza el contenido original por el del archivo visto antes: C:\ARQUIV~1\NORTON~1\Payback.doc.

Cuando se ejecuta NAV-32.EXE, el gusano se envía a los remitentes de todos los mensajes encontrados en la bandeja de entrada del Outlook y Outlook Express en alguno de los formatos mostrados al principio de la descripción. Luego borra los mensajes originales.

Cuando se ejecuta el componente D.EXE, el gusano copia el archivo "C:\ARQUIV~1\NORTON~1\Nav.exe" en todas las carpetas de todas las unidades de disco (C en adelante), con el siguiente nombre con doble extensión:

Atendimento.doc.exe


Reparación manual

Finalizando el proceso del virus en memoria

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la(s) siguiente(s):

Nav.exe
Nav32.exe
Nav-32.exe
D.exe

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior, aunque seguramente, si la rutina destructiva se llegó a ejecutar, la única solución efectiva sea reinstalar todos los programas y aplicaciones, incluido Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

NAV Agent-1
NAV Agent-2

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServicesOnce

5. Pinche en la carpeta "RunServicesOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

NAV Agent-
NAV Agent-1
NAV Agent-2
NAV Agent-x

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS