Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Updatr. Envío masivo, y similitudes con Goner.A
 
VSantivirus No. 517 - Año 6 - Viernes 7 de diciembre de 2001

Nombre: W32/Updatr
Tipo: Gusano de Internet
Alias: W32/Updatr@MM, I-WORM.IMELDA, I-Worm.Updater, W32/Updatr.vbs, W32/Updatr.A
Tamaño: 12,288 bytes
Fecha: 6/dic/01

Es un gusano con capacidad de propagación masiva de mensajes infectados a través de Internet, enviándose a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.

Escrito en Visual Basic 6, se trata de un archivo .EXE de aproximadamente 12Kb, comprimido con la utilidad UPX.

También crea archivos en formato Visual Basic Script (VBS), capaces de copiarse en todas las unidades de disco locales y las mapeadas en red.

Como para enviarse por correo electrónico, el gusano utiliza los campos Para: y CCO:, es posible recibir los mensajes infectados por pares.

El mensaje recibido puede tener algún asunto creado a partir de la selección de un elemento de cada una de las siguientes listas:

Lista 1

Have you
You Should
Just
Why Not you
How to
Have you
Re:
Fwd :

Lista 2

Check
Check out
Watch out
Open
Look at

Lista 3

this
my
For this
The
Subject
Picture
Program

Lista 4

Report
Documment
Quotation
Transaction
Bank Account
WTC Tragedy
Osama Vs Bush
Account
Private Pic

Un asunto típico sería [lista 1]+[lista 2]+[lista 3]+[lista 4], por ejemplo:

Have you Check out For this Report
Why Not you Look at Picture WTC Tragedy

Texto del mensaje:

This is the file you ask for, Please save it to disk and 
open this file, it's very important.

Archivo adjunto (alguno de esta lista):

Setup.EXE
install.exe
Readme.exe
Files.exe
Picture.exe
Quotation.Doc.exe
Letter.Doc.exe
Picture.jpg.exe

La infección ocurre cuando el usuario abre el archivo adjunto.

El gusano se envía a todos los contactos de la libreta de direcciones del Outlook, utilizando la interface de programación para aplicaciones que gestionen correo electrónico, MAPI.

Primero se copia a si mismo en la misma carpeta de Windows, con el nombre de UPDATE.EXE:

C:\WINDOWS\Update.exe

Luego, crea la siguiente clave en el registro, a los efectos de ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Update=C:\WINDOWS\Update.exe

Finalmente, muestra una ventana de error falsa, para disimular su acción:

File Open Error

Cannot Open files : It does not appear to be a valid archive

If you Downloaded this file , try dowbkloading the file again.

[   Aceptar   ]

Un archivo en Visual Basic Script es copiado en la carpeta de inicio de Windows, lo que permitirá su ejecución automática en cada reinicio del sistema:

C:\WINDOWS\MENÚIN~1\PROGRA~1\INICIO\Update.vbs

Este script, cuando se ejecuta, busca en todas las unidades de disco locales, como así también en todas las unidades mapeadas en red, todos los archivos con extensiones .DOC, .EXE, y .TXT.

El gusano no altera esos archivos, pero guarda una copia del script en el mismo directorio donde se encuentre alguno de estos, usando el mismo nombre del archivo encontrado, con el agregado de la extensión .VBS (una acción similar a la de los virus de compañía), y también cambia la etiqueta del volumen C: del disco duro por el de IMELDA.

Un ejemplo de archivo modificado: regedit.exe.vbs

En el décimo segundo día de cada mes, el script puede desplegar el siguiente mensaje:

VBScript: I-WORM.IMELDA.B
Hi there... you are infected by some of
IWING creations.... , have a nice day
[   Aceptar   ]

Método de infección

El gusano llega como un adjunto a un mensaje, por lo tanto la solución más inmediata para no infectarnos, pasa por no abrir JAMAS archivos adjuntos no solicitados.

El virus contiene un error de programación, lo que hace que en ocasiones, envíe alguno de los mensajes, sin adjunto alguno.

En su código, puede encontrarse este texto:

I-WORM.IMELDA.B
(C)2001, by Iwing
Virusindo - Indonesian Virus Network

Herramienta para limpiar automáticamente el Updatr

El programa AntiUpdatr (240 Kb) contra el virus W32/Updatr es una herramienta gratuita proporcionada por BitDefender. Sólo descárguela y ejecútela en su PC.

http://www.bitdefender-es.com/descarga/AntiUpdatrEs.exe

Cómo borrar manualmente el virus

Para eliminar manualmente el gusano, siga estos pasos:

Windows 95/98/NT/2000 

1. Pinche en Inicio, Buscar, en Archivos y carpetas
2. Asegúrese de tener en la ventana "Buscar en", la unidad C:, y marque "Incluir subcarpetas"
3. En Nombre o Buscar, escriba (o use cortar y pegar) lo siguiente:

update.exe  update.vbs

4. Pinche en Buscar ahora
5. Si aparece, marque Update.exe, pulse la tecla SUPR, y confirme el borrado.
6. Repita el paso 5 para el archivo Update.vbs.

Windows XP

1. Pinche en Inicio
2. Pinche en Buscar
3. Marque "Todas los archivos y carpetas"
4. En la ventana "Todo o parte del nombre", escriba:

update.exe   update.vbs

5. Pinche en Buscar
6. Seleccione el archivo Symredir.dll.

Todas las versiones

1. Pinche en Inicio, Ejecutar. Escriba REGEDIT y pulse Enter
2. Localice la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta "Run". En la ventana de la derecha, busque y borre el valor que haga referencia al gusano, (ver la siguiente referencia):

Update c:\windows\update.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Ejecute un escaneo de todos sus discos duros, con uno o más antivirus actualizado, y borre los archivos .VBS que puedan aparecer infectados, o ejecute la herramienta comentada antes.

Notas:

Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Glosario

Virus de compañía (companion) - Se les llama virus de compañía, a los virus que no infectan directamente a otro archivo, sino que toman su nombre, se ejecutan primero, y luego de su acción maliciosa, le pasan el control al archivo original, o sea "acompañan" al archivo que será su víctima, sin infectarlo directamente (más allá de renombrarlo).


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS