De: fotos_prestige@mareanegra.net
Asunto: fotos INEDITAS del PRESTIGE en el fondo del Atlantico!
Datos adjuntos: PRESTIG.ZIP
Texto del mensaje: [vacío]

De: "Greenpace"<boletin@greenpace.org>
Asunto: Nuevas grietas del PrestiGe nos amenazan!
Datos adjuntos: GRIETAS.ZIP
Texto del mensaje: [vacío]

En ambos casos, si el usuario abre el adjunto comprimido (.ZIP), se encuentra con el siguiente archivo:

Prestig.exe

El icono correspondiente a este archivo muestra una cámara de fotos:

Dicho archivo es el verdadero gusano. Cuando lo ejecuta (doble clic sobre él), el mismo muestra la siguiente ventana en ambas versiones:

PresTiGe

Desea instalar este PluG-In (sin coste telefonico adicional) y acceder a las fotos ineditas jamas mostradas en Tv del PresTiGe en el fondo del Oceano Atlantico?

[    Si    ] [    No   ]

Si el usuario pulsa en [Si] el gusano muestra una de las siguientes ventanas (de acuerdo a la versión), con un mensaje de error:

Versión A:

www.marea_negra.net

La version actual de WININET.DLL impide instalar el PluG-In
Atentamente::Grupo 29A

[    OK    ]

Versión B:

Windows Image Viewer

Unexpected error in MSVCRT40.DLL

[   Aceptar   ]

Cuando ese mensaje es mostrado, el gusano se copia a si mismo en la carpeta System de Windows:

C:\Windows\System\PresTiGe.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

En forma adicional, crea los siguientes archivos:

C:\Windows\System\m_prgrm.zip
C:\Windows\System\m_Base64.xrf
C:\Windows\System\m_WAB.XRF

El archivo "m_prgrm.zip" en realidad es el propio gusano en formato .EXE, pero con el cabezal modificado para simular ser un archivo ZIP; "m_Base64.xrf" es una copia codificada para enviar por correo electrónico en formato MIME-encoded, y "m_WAB.XRF" contiene las direcciones de correo que el gusano recoge de la libreta para usar luego como destinatarios al propagarse.

También renombra el editor del registro de algunas versiones de Windows, REGEDIT.EXE (ubicado en C:\Windows\), con el siguiente nombre:

C:\Windows\m_regedit.exe

Luego, crea una copia de si mismo con el nombre anterior:

C:\Windows\regedit.exe

Esta copia muestra el icono del verdadero REGEDIT.EXE.

Esto hace que si el usuario intenta usar el editor del registro, ejecutará nuevamente al gusano. Sin embargo, esta acción pasa desapercibida, puesto que el gusano, luego de ejecutarse permanece en memoria, realiza las modificaciones pertinentes, y luego le pasa el control al verdadero REGEDIT.EXE, ahora en el archivo M_REGEDIT.EXE.

El gusano también modifica el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
XRF = C:\windows\system\PresTiGe.exe

Cada vez que se ejecuta, el gusano se envía a todos los contactos de la libreta de direcciones (que almacena en M_WAB.XRF), utilizando como servidor SMTP el definido en el registro de la máquina infectada.

Los mensajes generados tienen algunas diferencias con el estándar, por lo que en algunas ocasiones y en ciertos clientes de correo, incluido Outlook Express, el adjunto puede tener cero byte.

El gusano examina la fecha del sistema. Si el año actual es 2003, en lugar de ejecutar su rutina de envío de mensajes, hace que Windows se reinicie.

El gusano también examina si está siendo examinado por el debugger "MASM32" (usado en el laboratorio para analizar paso a paso el código). En ese caso muestra una serie de mensajes o cadenas de texto y finaliza su ejecución:

Versión A:

WKaPCOM.PresTiGe bY XRF GrP,Diciembre2002 XRF code HiStorY 1990-2002 (Virus FaseII Virus3 TestIV TheHanGeD AuTumM92 ScaNner _1993_ ScaMer ScaMNer ModUlaR VRandom VRamExE VRaPExE W32_1st GxSMTP Anti29A ReWind HooKeY VHooKeY XPector UXPector WKaPExE dfendEr & WKaPCOM <Win32.BogusBear.A@mm>)

Versión B: (muestra varios mensajes, por ejemplo):

MessaGe to PandaSoftware:[W32.PresTiGE] uses IRC sPreadinG?

(Actualizado 17/dic/02) - Aunque ciertas descripciones (Panda), indicaban que el gusano era capaz de enviarse vía IRC, no hemos constatado que esto ocurra. En la versión "B" hay un texto de los programadores del virus sobre este tema, como vemos arriba.


Reparación manual

1. Actualice sus antivirus con las últimas definiciones

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\System\PresTiGe.exe
C:\Windows\System\m_prgrm.zip
C:\Windows\System\m_Base64.xrf
C:\Windows\System\m_WAB.XRF
C:\Windows\regedit.exe
C:\Windows\m_regedit.exe (*)

(*) Aunque m_regedit.exe es el archivo regedit.exe original, sin embargo, es mejor recuperar luego una copia nueva del mismo como indicamos más adelante.

Borre también toda aparición de estos archivos (use Inicio, Buscar):

PRESTIG.ZIP
GRIETAS.ZIP
Prestig.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a los descriptos antes.


Cómo recuperar REGEDIT.EXE

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

REGEDIT.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

REGEDIT.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

XRF = C:\windows\system\PresTiGe.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

El virus "Prestige", variante de la familia "Duksten"
http://www.vsantivirus.com/duksten-fam.htm

W32/Duksten. Datos adjuntos: SKUDO.ZIP
http://www.vsantivirus.com/duksten.htm

W32/BogusBear.A. Una falsa protección contra el Bugbear
http://www.vsantivirus.com/bogusbear-a.htm


Actualizaciones:
13/dic/02 - Alias: Win32.Duksten.H, I-Worm.Duksten.d
13/dic/02 - Alias: W32/Duksten@MM, W32/Duksten, I-Worm.Gain
13/dic/02 - Alias: I-Worm.Skudex, W32/Pretige, W32/Skud,
13/dic/02 - Alias: W32/Skudo, Win32/Gex, Worm/Antiax
13/dic/02 - Alias: Worm/BogusBear, W32/Prestige-A
13/dic/02 - Se amplia la descripción
17/dic/02 - W32/Prestige.B



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com