Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W97M/Emlitch.A. Pretende que el usuario borre SFC.EXE
  VSantivirus No. 986 - Año 7 - Jueves 20 de marzo de 2003

W97M/Emlitch.A. Pretende que el usuario borre SFC.EXE
http://www.vsantivirus.com/emlitch-a.htm

Nombre: W97M/Emlitch.A (SFC)
Tipo: Virus de macro de Word y gusano de Internet
Alias: Virus.W97M/Emlitch.A@M, W97M/SFC
Plataforma: Windows 32-bit
Fecha: 20/mar/03

Este virus de macro infecta documentos de Microsoft Word 97, 2000 y XP, además de propagarse a través del correo electrónico y de los canales de IRC.

Cuando un archivo infectado se ejecuta, se bajan los niveles de seguridad de Word97 y Word2000 mediante la modificación del registro.

También deshabilita las siguientes opciones del menú: ToolsMacro, ViewVBCode, ToolsTemplates, ToolsCustomize, FormatStyle, ViewStatusBar, ViewToolbars.

Agrega la siguiente entrada al registro de Windows:

HKCU\Software\Zed\SFC\WordMacro/SFC by Zed

Luego, copia su código en el archivo con atributos de oculto (+H), C:\Winsnd32.snd.

La propagación a través del correo electrónico, se produce a toda la libreta de direcciones, en mensajes con estas características:

Asunto (uno cualquiera de la siguiente lista:

Advice on computers
Advice regarding computers
Computer advisory
Computer Virus Alert
Important
Important details
Important info
Important information
Important news
Important notice
Info on computers
News regarding computers
Please read
Some advice
Some details
Urgent
Urgent details
Urgent info
Urgent information
Urgent notice

Texto del mensaje (siempre el mismo):

Hello readers,

I have discovered that my computer has had a
computer virus, and I have removed all traces
of it.
This virus is causing problems for lots of
computer users worldwide.
However, there is a way to check to see if you
have this virus on your computer system:

Click "Start", and then scroll up to "Find" or
"Search" and select it.

Wait until the file search application appears.
When the file search application appears, type
"Sfc.exe" and click the find button.

If your computer finds this file, DO NOT open
this file. It is infected with this virus. You
can delete this file, but the virus may still
be active somewhere on your computer. To remove
this virus, I have included a document called
"Doc2.doc" which contains more instructions on
how to remove this virus from your computer.

NOTA: No borre SFC.EXE. Se trata de la herramienta de comprobación de archivos usada por Windows 98.

Es muy importante que en caso de recibir un mensaje como éste, no haga lo que allí dice. El texto pretende ser un intento de "virus manual", es decir, nos pide a nosotros borrar un archivo que normalmente es inocente (SFC.EXE), y utilizado por Windows 98. Es un caso similar al del HOAX del JDBGMGR.EXE (ver "¿Está JDBGMGR.EXE en su computadora?. ¡NO LO BORRE!" http://www.vsantivirus.com/hoax-jdbgmgr.htm).

Después de enviar el mensaje mencionado, el virus añade la siguiente información al registro:

HKCU\Software\Zed\SFC\RecordContacts
\[dirección enviada]\[hora del envío]

La clave es examinada cada vez que el virus se ejecuta para no volver a enviar un mensaje a la misma dirección.

El virus busca también aquellos mensajes aún no enviados que permanecen en la bandeja de salida y se adjunta a ellos. Esta característica permite que un mensaje legalmente enviado, lleve un adjunto no previsto (el gusano), cosa que nosotros ignoraremos. Pero el receptor podría tomarlo por válido, al ser muchas veces una respuesta a un mensaje suyo.

Para propagarse a los canales de chat visitados por la víctima, el gusano busca la presencia de los programas mIRC y pIRCh, y crea un archivo SCRIPT.INI con las instrucciones para autoenviarse.

El código del virus contiene el siguiente comentario, que no es mostrado en ningún momento:

WordMacro/SFC by Zed


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Como limpiar documentos de Word infectados

Ejecute uno o más antivirus actualizados con las últimas definiciones. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm


Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Macro, Seguridad, y cambie el nivel a Alto.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Zed

3. Pinche en la carpeta "Zed" y bórrela.


Información adicional

El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
24/mar/03 - Alias: W97M/SFC



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS