Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Cazinat. Asunto: Screen Saver Canapa
 
VSantivirus No. 812 - Año 6 - Sábado 28 de setiembre 2002

 W32/Cazinat. Asunto: Screen Saver Canapa
http://www.vsantivirus.com/cazinat.htm

Nombre: W32/Cazinat
Tipo: Gusano de Internet
Alias: W32.Cazinat@mm, I-Worm.Cazinat, Win32.HLLM.Canapa.58075, W32/Canapa
Fecha: 27/set/02
Tamaño: 185,145 bytes, 61,440 bytes
Plataformas: Windows 32-bits

Este gusano se propaga enviándose a direcciones de correo recogidas de archivos .HTM, y también intenta hacerlo a través de la red Peer-To-Peer, KaZaa, utilizada para compartir archivos entre usuarios de computadora a computadora.

El gusano es una aplicación de Visual Basic, compilada en su código nativo.

El mensaje que utiliza para propagarse tiene estas características:

Asunto: Screen Saver Canapa
 Datos adjuntos: Canapa.scr

 Texto:
Buongiorno, il nostro Staff le ha allegato uno screen saver riguardante l' uso della canapa tra i giovani d' oggi.
Questo contiene molte informazioni che è bene conoscere, soprattutto se non si fa uso di tale sostanza!
Se è favorevole alla legalizzazione della canapa(non droga) faccia notizia espandendo quest' email ai suoi amici e colleghi.

Staff di Servizio abbonati.

Gentile abbonato, lo r ti regala un grazioso screen saver come da te richiesto.
Se non vuoi ricevere più i nostri screen saver inviaci una e-mail vuota.

Per accedere direttamente al nostro sito clicca sul link che segue:
http://[enlace a un sitio web]

El adjunto CANAPA.SCR puede tener 185,145 bytes o 61,440 bytes.

Al ejecutarse este archivo, el gusano se copia a si mismo en las siguientes ubicaciones, literalmente explicitadas en su código:

C:\Windows\System\Canapa.scr
C:\Windows\System\Norton.exe

Luego, crea el siguiente valor en el registro, para autoejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Norton = Norton.exe

El gusano es capaz de sobrescribir todos los archivos con las siguientes extensiones, en la unidad C:

.exe
.scr
.pif
.com

También examina todos los archivos con extensión .HTM en busca de direcciones electrónicas (mailto:). Las direcciones encontradas son guardadas en el siguiente archivo, también creado por el gusano:

C:\Windows\TEMP\Contact-e-mail.ini

Luego envía un mensaje con las características anteriormente descriptas, a las direcciones recogidas en dicho archivo.

El gusano contiene un ejecutable en formato WinZip (autoextraíble) agregado a su código. Cuando dicho archivo se ejecuta, el mismo descomprime el siguiente archivo de texto:

How to fix xp for sp1 service pack.txt

Ni el archivo WinZip ni el archivo de texto contienen código malicioso.

La fecha del envío a través del correo electrónico, es registrada en el siguiente archivo temporal:

C:\WINDOWS\Temp\TmpSendMail


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos: 

C:\Windows\System\Canapa.scr
C:\Windows\System\Norton.exe

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Norton = Norton.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
30/set/02 - Alias: Win32.HLLM.Canapa.58075, W32/Canapa



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS