Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Rexli.A. Modifica todos los archivos .VBS del duro
 
VSantivirus No. 581 - Año 6 - Viernes 8 de febrero de 2002
Modificado domingo 10 de febrero de 2002

W32/Rexli.A. Modifica todos los archivos .VBS del duro
http://www.vsantivirus.com/rexli-a.htm

Nombre: W32/Rexli.A
Tipo: Gusano de Internet
Alias: W32.Rexli.A@mm
Tamaño: 57,344 Bytes
Fecha: 6/feb/02
Fuente: Symantec

Escrito en Visual Basic, este gusano de envío masivo a través del correo electrónico, utiliza como destinatarios todos los contactos de la libreta de direcciones del Outlook.

Aparentemente originado en Polonia, Rexli.A requiere la presencia de las librerías runtime de Visual Basic.

Si el mIRC está presente en la máquina infectada, el gusano busca y modifica el archivo SCRIPT.INI con las instrucciones para enviarse a través de los canales de chat.

El mensaje infectado recibido vía e-mail tiene estas características:

Asunto: Cool Linki

Texto:
Przesylam ci znaleziona baze danych linków. Jest tam duzo
stron, których na pewno nie znasz :)

Adjunto: Linki.exe (57,344 Bytes)

Cuando el usuario abre el adjunto (doble clic sobre él), el gusano se activa, y su primera acción es copiarse a si mismo con dos nombres, como dos archivos diferentes, a la carpeta apuntada por la variable %System%, que por defecto es C:\Windows\System o C:\Winnt\System32: (este es un ejemplo):

C:\Windows\System\Rexec.exe
C:\Windows\System\Linki.exe

Luego, modifica el archivo WIN.INI para autoejecutarse en cada reinicio de Windows:

[windows]
load=C:\Windows\System\Rexec.exe

También la primera vez que se ejecuta, despliega el siguiente mensaje de error falso:

Error
Error while loading REXEC.EXE
[     OK     ]

El gusano detiene su ejecución hasta que usted pulse sobre el botón [ OK ] o cierre la ventana.

Luego de ellos, el gusano examina el disco duro en busca de archivos con la extensión .VBS

Cada vez que encuentra uno, el gusano lo modifica de modo de autoejecutarse cada vez que el usuario intenta abrir alguno de sus propios .VBS.

Después de esto, el gusano activa su rutina de envío masivo, enviando un mensaje como el visto antes, a cada contacto de la libreta de direcciones.

Limpieza de un sistema infectado

Para empezar, ejecute uno o dos antivirus al día y borre los archivos Rexec.exe y Linki.exe si existen, así como los archivos .VBS infectados.

Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter, y modifique la siguiente entrada:

[windows]
load=C:\Windows\System\Rexec.exe

La misma debe quedar como:

[windows]
load=

Grabe los cambios y salga del bloc de notas.

Si existe mIRC, borre las instrucciones agregadas por el virus al archivo SCRIPT.INI, o directamente borre ese archivo.

Los archivos .VBS modificados, deberán ser borrados y reemplazados de una copia de respaldo, o por medio de una reinstalación.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS