Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Hunch.c. Falsas fotos esconden destructiva acción
 
VSantivirus No. 638 - Año 6 - Sábado 6 de abril de 2002

W32/Hunch.c. Falsas fotos esconden destructiva acción
http://www.vsantivirus.com/fotodesn.htm

Nombre: W32/Hunch.c
Tipo: Gusano de Internet
Alias: W32/Fotodesn, Bloodhound.W32.VBWORM, Win32.HLLM.Generic.29
Tamaño: 77,824 bytes
Fuente: Panda

Este gusano, programado en Visual Basic 6, se propaga a través del correo electrónico, enviándose a todos los contactos de la libreta de direcciones de Windows.

El mensaje enviado tiene estas características:

Texto del mensaje:

Tal como te prometí; 
te envío mi foto en el archivo adjunto....

Datos adjuntos: CERTIFICATE.PDF.EXE

El archivo adjunto posee doble extensión (PDF.exe), siendo su icono el de un archivo de imágenes (.GIF), lo que ayuda a confundirlo con una fotografía.

Si el usuario abre el adjunto, se muestra una imagen pornográfica, al mismo tiempo que el virus comienza a realizar las siguientes acciones:

1. Genera los siguientes tres archivos en la computadora infectada:

Certificate.PDF.exe
C:\Windows\System\msoffice.exe
C:\Windows\System\thd16.exe

2. Cada vez que se ejecute THD16.EXE, su acción borrará 5 archivos con extensiones seleccionadas al azar entre la siguiente lista:

*.SCR
*.TTF
*.XLS
*.DOC
*.DWG
*.MP3
*.CDX
*.BMP
*.HTM
*.HLP
*.CHM
*.JPG
*.CDR
*.MDB
*.DBF
*.ICO
*.BAK
*.GIF

4. También se modifica el archivo C:\Autoexec.bat que se ejecuta al iniciarse la computadora, con la instrucción necesaria para proceder al formateo incondicional de la unidad de disco duro C:, en el próximo reinicio de Windows.

5. Crea en el registro, la entrada necesaria para ejecutar el archivo THD16 en cada reinicio (acción redundante si se produce el formateo del duro por una acción anterior):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
THD16 = C:\Windows\System\thd16.exe

Para eliminar en forma manual el gusano

1. Primero, actualice sus antivirus y ejecute un escaneo de todas sus carpetas y archivos. Borre los archivos detectados como infectados por el gusano.

2. Borre el mensaje infectado recibido de su bandeja de entrada y luego también de la bandeja de elementos eliminados (en el Outlook, Edición, Vaciar la carpeta de elementos eliminados).

3. Compacte las carpetas del Outlook (Archivo, Carpeta, Compactar todas las carpetas).

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

THD16       C:\Windows\System\thd16.exe

7. Examine el archivo AUTOEXEC.BAT

7.a. Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

7.b. Usuarios de Windows 95, 98 y Me:

7.b.1. Pulse el botón Inicio y luego Ejecutar

7.b.2. Escriba lo siguiente y pulse OK.

edit  c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

7.b.3. Borre la línea que contenga un comando "FORMAT" si ésta existiera

7.b.4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Modificado 9/abr/02

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS