Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Bezilom. Complejo gusano liberado por un "dropper"
 
VSantivirus No. 596 - Año 6 - Sábado 23 de febrero de 2002

 W32/Bezilom. Complejo gusano liberado por un "dropper"
http://www.vsantivirus.com/bezilom.htm

Nombre: W32/Bezilom
Tipo: Gusano
Alias: W32/Bezilom.worm, W32/Bezilom-A
Fecha: 21/feb/02
Tamaño: 143,360 bytes (dropper)
Fuentes: Sophos, McAfee

El gusano, escrito en Visual Basic 6, simula ser un ejecutable con el icono de un archivo de imágenes (JPEG). Es un "dropper", que libera los dos componentes del verdadero gusano. El dropper consta de tres archivos a saber:

a. Una imagen JPG con contenido pornográfico que se visualiza al ejecutar el dropper, y mientras eso sucede, se crean los siguientes archivos, que son el gusano en si mismo:

b. MARIA.DOC [gran cantidad de espacios] .EXE

Este es un troyano que simula una infección. Note la doble extensión (en realidad no es un .DOC, sino un ejecutable .EXE), separados lo suficiente como para que el usuario no vea la verdadera terminación, suponiendo tenga configurado Windows para no ocultar las extensiones de los archivos ejecutables más utilizados).

c. MACROSOFTBT.EXE

Este último dice ser una utilidad antivirus.

Cuando el usuario pretende abrir para leer el archivo MARIA.DOC, en realidad ejecuta MARIA.DOC [espacios] .EXE. También se ejecutará por si solo en los próximos reinicios de Windows.

Cuando ese archivo se ejecuta, el mismo se copia en el directorio raíz de Windows con un nombre al azar y el atributo de oculto (+H).

También se copia a %Windir% (C:\Windows\MARIA.DOC [espacios] .EXE), y si existe un disquete desprotegido, intenta copiarse en él.

El gusano sobrescribe el contenido del archivo C:\AUTOEXEC.BAT, con una sola instrucción:

C:\[nombre al azar].exe

Este proceso se reitera para cada reinicio de Windows, resultando en una gran acumulación de copias del gusano.

También se modifica la siguiente clave del registro, para asegurarse su autoejecución en cada reinicio):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Startup = C:\Windows\MARIA.DOC [espacios] .EXE

Cuando el segundo componente se ejecuta, se crea un directorio con atributo de oculto, y de nombre MacrosoftBL. La siguiente clave del registro es creada para que el falso antivirus se ejecute automáticamente al inicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Macrosoft = c:\program files\MacrosoftBL\MACROSOFTBL.EXE

Según lo visto, en cada reinicio, ambos componentes del gusano quedan activos en memoria. Después de una determinada cantidad de reinicios (tres en las pruebas), MARIA.DOC [espacios] .EXE causa que todas las ventanas queden ocultas (a excepción de la ventana "MacrosoftBL windows").

El segundo componente del gusano, simula una infección inexistente, muestra una ventana donde se pide al usuario se registre para poder limpiar el virus.

Your Computer contain virus. First, You must
register it before than you clean up.
Click "About/Registering" below an register it
for "Small" o "Full" version.

Siguiendo los pasos de registración, un formulario de registro es mostrado al usuario (Payment instructions).

Cómo borrar manualmente el virus

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Para limpiar manualmente el virus, siga estos pasos:

1. Primero, para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver", DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

2. Ejecute el Explorador de Windows, y borre la carpeta "MacrosoftBL" que se muestra a continuación:

c:\program files\MacrosoftBL\

Borre también todos estos archivos:

C:\[nombre al azar].exe (todos de 28,672 bytes)
C:\MARIA.DOC [espacios] .EXE
C:\Windows\MARIA.DOC [espacios] .EXE

3. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

5. Pinche sobre la carpeta "Run". En el panel de la derecha pinche y borre las siguientes entradas:

Startup C:\Windows\MARIA.DOC [espacios] .EXE
Macrosoft c:\program files\MacrosoftBL\MACROSOFTBL.EXE

6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Start

7. Pinche sobre la carpeta "Start". En el panel de la derecha pinche y borre las siguientes entradas (RegRes1 y REGWord):

RegRes1 = 01, 00, 00, 00 
REGWord = 01, 00, 00, 00

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

10. Ejecute uno o más antivirus actualizados para examinar todo su equipo. También examine los disquetes que pudieran haber sido infectados.

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm 

Glosario:

DROPPER (cuentagotas) - Es un archivo que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS