Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Neroma.B. Simula una imagen del 11/set
 
VSantivirus No. 1156 Año 7, Sábado 6 de setiembre de 2003

W32/Neroma.B. Simula una imagen del 11/set
http://www.vsantivirus.com/neroma-b.htm

Nombre: W32/Neroma.B
Tipo: Gusano de Internet
Alias: W32.Neroma.B@mm, W32/Neroma.B@MM, Win32/Neroma.B, WORM_NEROMA.B, I-Worm.Nearby.B, W32.NEROMA.B@MM, Neroma.B, Nearby.B
Fecha: 4/set/03
Plataforma: Windows 32-bit
Tamaño: 5,120 bytes

Este gusano de envío masivo, escrito en Microsoft Visual Basic 6, y comprimido con la utilidad UPX (con el header modificado), se aprovecha de la conmemoración de un nuevo aniversario del 911 (11/set), y la caída de las torres gemelas del World Trade Center (11 de setiembre de 2001) como señuelo para propagarse.

Es similar a la versión A, salvo en los días de ejecución de las rutinas destructivas, el nombre de los archivos involucrados, y los textos y asunto del mensaje.

Esta variante del gusano puede borrar todos los archivos de la carpeta Windows y sus subcarpetas, los siguientes días de cada mes:

1, 9 y 11

Nota: Algunas pruebas indican que esta rutina podría no ejecutarse satisfactoriamente en todas las ocasiones.

Se envía a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, en un mensaje con estas características:

Asunto: Time to 911!
Datos adjuntos: 119.gif (nrs.exe)

Texto: i, Nice butt!

En el texto faltaría una "H" (Hi, Nice butt!).

El nombre mostrado como archivo adjunto es 119.gif (en realidad es nrs.exe), y ello lo logra modificando la etiqueta del adjunto en las propiedades del mensaje (jamás abra adjuntos no solicitados, ni aún cuando parezca ser una inocente imagen).

Cuando el usuario hace doble clic sobre el adjunto, el gusano se copia en la siguiente ubicación:

c:\windows\nrs.exe

NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).

Luego, intenta enviarse a toda la libreta de direcciones del Outlook y Outlook Express en un mensaje idéntico al ya visto.

En Windows NT, 2000 y XP, crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
shell = Explorer.exe nrs.exe

En Windows 95, 98 y Me, crea la siguiente entrada en el archivo SYSTEM.INI para ejecutarse cada vez que se reinicia Windows:

[boot]
shell = Explorer.exe nrs.exe

En su código puede encontrarse el siguiente texto, no mostrado en ningún momento:

This is a Second Variant of Nemora 911.


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\nrs.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro (Windows NT, 2000 y XP)

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

3. Pinche en la carpeta "Winlogon" y borre la siguiente entrada en la ventana de la derecha:

shell = Explorer.exe nrs.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo SYSTEM.INI (Windows 95, 98 y Me)

1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Busque lo siguiente:

[boot]
shell = Explorer.exe nrs.exe

y déjelo así:

[boot]
shell = Explorer.exe

3. Grabe los cambios y salga del bloc de notas

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

W32/Neroma.A. Simula una imagen del 11/set
http://www.vsantivirus.com/neroma-a.htm


Actualizaciones:

07/set/03 - Actualización de la descripción (mensajes)





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS