Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Crazybox.A. Datos adjuntos: brigada8.zip
 
VSantivirus No. 726 - Año 6 - Miércoles 3 de julio de 2002

 W32/Crazybox.A. Datos adjuntos: brigada8.zip
http://www.vsantivirus.com/crazybox-a.htm

Nombre: W32/Crazybox.A
Tipo: Gusano de Internet
Alias: Brigada, WORM_CRAZYBOX.A
Fecha: 2/jul/02
Plataforma: Windows 32-bits
Tamaño: 75,264 bytes (UPX)
Fuente: Trend

Este gusano se autoenvía a través del correo electrónico, y no tiene ningún efecto destructivo.

Llega en un mensaje con estas características:

Asunto: check us out
Texto: we exist to give everyone a smiley face... :)
Datos adjuntos: c:\brigada8.zip

Está programado en Microsoft Visual Basic 6.0 y comprimido con la utilidad UPX. Requiere la presencia de la librería MSVBVM60.DLL para ejecutarse (en Windows Me y superiores, está incluida en una instalación por defecto).

Al ejecutarse, se crean los archivos PISS.EXE (63,488 bytes) y UPDATE.EXE en el raíz de la unidad C:\.

El primer archivo también está comprimido con la herramienta compresora de ejecutables UPX.

PISS.EXE es usado para añadir el propio gusano a todos los archivos .ZIP encontrados en las unidades de disco del usuario infectado.

La copia anexada a los archivos ZIP tiene el nombre de LOLITA.EXE, y cuando es extraída del archivo que la contiene, se copia en el directorio System de Windows.

El segundo archivo UPDATE.EXE, muestra en pantalla el siguiente texto destellando y con un color de fondo aleatorio:

BRIGADA

Este programa no puede detenerse hasta que se detenga el proceso activo correspondiente (pulsando CTRL+ALT+SUPR en Windows 9x y Me y seleccionado y finalizando la tarea llamada CRAZYBOX.

También se copia a si mismo en el raíz de la unidad actual y en cualquier disquete grabable encontrado en A:

Los nombres de esas copias son los siguientes:

LOLITA.EXE
MS0701i32.EXE
XXXiew.EXE

También agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
b8 = "\MS0701i32.EXE –PETIKB8"

El gusano se propaga en un mensaje como el visto al principio. Las direcciones a las que el gusano se envía, son obtenidas de la libreta de Microsoft Outlook.

El gusano, acepta en su ejecución por línea de comando, tres argumentos distintos:

-peikb8
-alcopaulb8
-trojanmode

Si se ejecuta con el argumento –petikb8 (gusano.exe -petikb8), el gusano infectará todos los archivos .ZIP.

Si lo hace con el parámetro –alcopaulb8, se crea el archivo BRIGADA8.ZIP en el raíz de la unidad C:, con el propio gusano dentro. Al ser extraído, se copiará por defecto en el escritorio de Windows.

Si en cambio se ejecuta con el argumento –trojanmode, el gusano procede a apagar de inmediato la computadora, perdiéndose la información no guardada.

El virus posee la habilidad de infectar también la plantilla global de Word, NORMAL.DOT, con lo que infectaría documentos de Word.

El gusano tiene en su código comprimido (no visible a simple vista), el siguiente texto:

brigada.worm by petik and alcopaul


Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale las siguientes:

<!—B8-->

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

b8

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

También debe borrar el gusano de todos los archivos .ZIP, abriéndolos y borrando el archivo LOLITA.EXE dentro de estos.

Actualice sus antivirus y ejecútelos en modo escaneo, revisando todos sus discos duros y disquetes (no olvide los disquetes).

9. Borre los archivos detectados como infectados por el virus


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS