De: Alerta_RaPida <boletin@viralert.net>
Asunto: ProTeccion TOTAL contra W32/Bugbear (30dias)
Texto: [vacío]
Datos adjuntos: protect.zip

Si el usuario descomprime "protect.zip", y ejecuta el archivo "ProTecT.exe" contenido dentro del .ZIP, se mostrará una caja de diálogo con el siguiente texto (sólo en la primera ejecución):

PrTecTor

Su Pc <-_NO_-> fue infectado por el W32/Bugbear

ProTecTor sera operativo durante 30dias pasado ese tiempo
debera ReGistrar su copia siguiendo las instrucciones
att::staff

[   OK   ]

Si se hace clic sobre el botón [OK], el gusano renombrará el archivo original "regedit.exe" como "m_regedit.exe" y se copia a si mismo como "regedit.exe", cambiando incluso su icono por el del REGEDIT original.

A continuación verifica si el año actual es 2003, y en ese caso cerrará Windows. Si el registro ya ha sido modificado, el gusano cerrará Windows mientras el año del sistema sea 2003, cada vez que se quiera reiniciar la computadora.

En caso contrario se auto-copiará en la carpeta System de Windows como "PrTecTor.exe" y agregará la siguiente clave al registro para ejecutarse cada vez que se inicie el sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
XRF = C:\Windows\System\PrTecTor.exe

'C:\Windows\System' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

El virus leerá del registro los datos de la cuenta de correo predeterminada, y tomará los contactos para enviarse de la Libreta de Direcciones de Windows (.WAB, Windows Address Book), guardándolas en el siguiente archivo:

C:\Windows\System\m_WAB.xrf

Luego creará un archivo "m_prgrm.zip" con el gusano dentro, el cual será auto-enviado como adjunto en el mensaje infectado, como "protect.zip".

Después de esta acción, el gusano verificará constantemente el estado de la conexión a Internet, y en caso de detectar una activa (cuando el usuario se conecte), el virus empezará a auto-enviarse en formato Base64 (un estándar de codificación), a todas las direcciones almacenadas en el archivo "m_WAB.xrf". Cada dirección enviada con éxito, será borrada del archivo mencionado.

También sobrescribirá el archivo REGEDIT.EXE (el editor del registro), por una copia de si mismo, de modo que cada vez que se quiera usar REGEDIT, se estará ejecutando al propio gusano.

El archivo REGEDIT.EXE original es copiado en la misma carpeta con el nombre de M_REGEDIT.EXE:

C:\Windows\M_Regedit.exe

Cuando el usuario intente iniciar el falso REGEDIT.EXE, se borrará la clave del registro antes mencionada (de esta forma el usuario no puede detectar el virus buscando en las claves del registro) y cuando el programa se cierre volverá a escribir el valor del registro.

IMPORTANTE: Al intentar repararlo manualmente, deben tomarse algunas precauciones. Al ser el editor del registro (regedit.exe), un falso archivo infectado por el gusano, cuando el usuario intente ejecutarlo, éste borrará determinadas llaves del registro, con lo cual puede desestabilizar al sistema y hasta ocasionar su mal funcionamiento siendo necesario reinstalar Windows.

En el código del virus puede encontrarse el siguiente texto:

WKaPCOM bY XRF,19SePtiembre2002 PandaSoftware,please,rename Duksten to WKaPExE About::Me 1985AppleIIe.1986Univac1100. 1987MV4000.1988MV20000.1990EpsonPcJ2

El autor es probablemente español y se autonombra XRF. El virus es llamado originalmente como WKaPCOM por su autor.


Reparación manual

Si su sistema se infecta con este gusano, el mismo no arrancará en Windows. Una solución para esto es entrar el BIOS Setup al iniciar el PC (pulsando DEL o la tecla correspondiente a su equipo), y modificar el año a 2002 por ejemplo.

Otro, es intentar ingresar en modo a prueba de fallos, como se explica más adelante (dependiendo de la versión de Windows instalada).


Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

NOTA: Es importante seguir el procedimiento especial para limpiar el registro, como se explica más adelante.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\System\PrTecTor.exe
C:\Windows\System\m_WAB.xrf
C:\Windows\System\M_PRGRM.ZIP
C:\Windows\System\M_BASE64.XRF

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

NOTA: Examine cuidadosamente este procedimiento, ya que el editor original (REGEDIT.EXE) puede ser el gusano, o puede no existir si el antivirus lo eliminó.


1. Ejecute el editor de registro: Inicio, ejecutar, escriba M_REGEDIT y pulse ENTER (¡Cuidado con el nombre!)

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

XRF

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Recuperar REGEDIT.EXE

Debido a que el gusano sobrescribe el verdadero archivo del registro, se debe restaurar el original.

1. Desde el explorador de Windows, busque en la carpeta c:\Windows (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000), los siguientes archivos:

REGEDIT.EXE
M_REGEDIT.EXE

2. Borre el archivo REGEDIT.EXE

3. Renombre M_REGEDIT.EXE como REGEDIT.EXE

NOTA: la extensión .EXE será visible si se siguen las instrucciones dadas en "Mostrar las extensiones verdaderas de los archivos".

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

5. Si cambió la fecha en el BIOS Setup, vuelva a hacerlo para poner el año actual.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas".

3. Seleccione la lengüeta "Ver".

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos".

En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo".

6. Pinche en "Aplicar" y en "Aceptar".


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

El virus "Prestige", variante de la familia "Duksten"
http://www.vsantivirus.com/duksten-fam.htm

W32/Duksten. Datos adjuntos: SKUDO.ZIP
http://www.vsantivirus.com/duksten.htm

W32/Prestige (Predig). Falsas fotos del "Prestige"
http://www.vsantivirus.com/prestige.htm


Actualizaciones:

24/oct/02 - Alias: W32.Duksten.B@mm, W32.Protex.Worm, Worm_Bogusbear.A
05/may/03 - Alias: WORM_DUKSTEN.B, W32.Duksten.B@mm
05/may/03 - Alias: W32/BogusBear.A, WORM_BOGUSBEAR.A
05/may/03 - Procedimiento de limpieza




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com