Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Hedong. Borra archivos .EXE, .MP3, .DOC, .DLL y .DAT
 
VSantivirus No. 677 - Año 6 - Miércoles 15 de mayo de 2002

W32/Hedong. Borra archivos .EXE, .MP3, .DOC, .DLL y .DAT
http://www.vsantivirus.com/hedong.htm

Nombre: W32/Hedong
Tipo: Gusano de Internet
Alias: W32/Hedong@MM
Fecha: 14/may/02
Tamaño: 45,152 bytes
Fuente: Panda

Hedong es un gusano programado en Visual C++, de 45,152 bytes de largo, capaz de propagarse a si mismo vía correo electrónico, que se aprovecha de una conocida vulnerabilidad del Internet Explorer de Microsoft, para infectar al usuario con solo ver el mensaje en el panel de vista previo del Outlook.

Además de ello, posee una destructiva rutina, capaz de borrar todos los archivos con extensiones .EXE, .MP3, .DOC, .DLL y .DAT. Note que al borrar archivos .EXE y .DLL, es prácticamente imposible que Windows pueda reiniciarse y restaurarse si no se reinstala todo el sistema.

El mensaje enviado por el gusano (igual al recibido por aquel que se infectó), puede contener en forma alternativa dos archivos adjuntos diferentes. Estos pueden ser HELLO.EXE o HELLO.VBS. En ambos casos, una configuración estándar de Windows ocultaría la extensión, siendo visible solo HELLO como nombre.

Cómo ambos archivos son diferentes, la acción del gusano también tendrá leves diferencias dependiendo de cuál versión se reciba.

Si recibimos un mensaje con el archivo HELLO.EXE como adjunto, el gusano se ejecutará en forma automática tan solo por ver el mensaje en el panel de vista previa, o al abrirlo para leerlo. No es necesario abrir el adjunto para que el virus nos infecte. Esto se debe a la explotación de una conocida vulnerabilidad del Internet Explorer.

Si se ejecuta, el gusano se copia a si mismo en el directorio System de Windows (generalmente C:\Windows\System) con el nombre de EXPORLER.EXE (note que a simple vista puede confundirse con EXPLORER.EXE, un archivo legítimo de Windows):

C:\Windows\System\EXPORLER.EXE

Luego modifica el registro para hacer que cada vez que se ejecute cualquier programa o aplicación, el virus (EXPORLER.EXE) sea llamado antes y permanezca en memoria:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = "EXPORLER.EXE "%1" %*"

Cuando el archivo adjunto es HELLO.VBS, el gusano crea además los siguientes archivos:

C:\Windows\Win32Dll.vbs
C:\Windows\System\MSKernel.vbs


Consejos que ayudan para no infectarse

Para disminuir los riesgos de infección, quite el panel de vista previa.

En el Outlook Express, seleccione Ver, Diseño, desmarque "Mostrar panel de vista previa"

En el Outlook Express, seleccione Ver, Diseño, desmarque "Mostrar panel de vista previa"

Borre todo mensaje con adjuntos HELLO, o HELLO.VBS o HELLO.EXE, sin abrirlo.

El gusano borra todos los archivos con extensión .EXE, .MP3, .DOC .DLL y .DAT que encuentre en todas las unidades de disco disponibles.

También reemplaza la página de inicio del Internet Explorer, por la siguiente:

http://www.hziee.edu.cn


Para eliminar el gusano de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado)         EXPORLER.EXE "%1" %*

5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (EXPORLER.EXE) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Ejecute uno o más antivirus actualizados para escanear todos sus discos duros, y borre los archivos infectados.

9. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS