Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Bat/WCup.B. Asunto: England Win WorldCup with Beckham
 
VSantivirus No. 711 - Año 6 - Martes 18 de junio de 2002

 Bat/WCup.B. Asunto: England Win WorldCup with Beckham
http://www.vsantivirus.com/wcup-b.htm

Nombre: Bat/WCup.B (BWG.E)
Tipo: Gusano de Internet
Alias: BAT/Newo, Worm/BWG.E, Bat/Cup-B, BAT.WCup.B@mm, BAT/BWG.E
Fecha: 15/jun/02
Plataformas: Windows
Tamaño: 9,216 bytes

Se trata de un gusano de Internet incluido en un archivo .BAT (archivos de proceso por lotes de MS-DOS), que se propaga adjunto a un correo electrónico usando como carnada para que un usuario lo abra y ejecute, el tema del Mundial de fútbol 2002. Es el tercero conocido que se vale de este truco, y el segundo creado con la misma herramienta sobre el tema.

El mensaje que contiene el gusano, se presenta así:

Asunto: England Win WorldCup with Beckham.
Texto: Beckham & Owen Predictions
Datos adjuntos: Readme.bat

La ejecución del archivo README.BAT produce la infección del equipo.

Las acciones más notorias de este gusano, son la modificación de los archivos del sistema AUTOEXEC.BAT, WIN.INI y SYSTEM.INI.

El gusano, aunque capaz de propagarse tanto por correo electrónico como a través de los canales de chat (IRC), posee un error en su código.

Cuando el usuario ejecuta README.BAT, el usuario recibe el siguiente mensaje:

Beckham kick everyone asses! Hehee! :P

Antes de ello, el gusano ha realizado las siguientes acciones:

1. Se copia como I_LOVE_OWEN.BAT en el directorio donde se ejecuta el gusano, y como C:\OWEN.VBS y C:\README.BAT. Estos archivos son borrados luego de ejecutar su rutina de propagación.

2. Se copia a si mismo en las siguientes ubicaciones. Por un error, se copia íntegramente dentro del siguiente archivo, dañando su contenido original:

C:\Autoexec.bat

3. Copia parte de su código en los siguientes archivos, dañando el contenido original (produce inestabilidad en el funcionamiento de Windows):

C:\Windows\win.ini
C:\Windows\system.ini

4. Crea los siguientes archivos en la carpeta Windows:

C:\Windows\IAmJustAWormLovesBeckham.vbs
C:\Windows\IAmJustAWormLovesFowler.vbs
C:\Windows\IAmJustAWormLovesRio.vbs 
C:\Windows\IAmJustAWormLovesHargreaves.vbs
C:\Windows\IAmJustAWormLovesCampbell.vbs
C:\Windows\IAmJustAWormLovesEngland.vbs
C:\Windows\IAmJustAWormLovesMills.vbs
C:\Windows\IAmJustAWormLovesWayne.vbs
C:\Windows\IAmJustAWormLovesCole.vbs
C:\Windows\ThisISASimpleWorldCupVirus.vbs
C:\Windows\ThisISASimpleWorldCupWorm.vbs
C:\Windows\Vbs.lnk

5. Crea los siguientes archivos en el raíz de la unidad C:

C:\Pif.lnk
C:\vbs.lnk

6. Crea el siguiente directorio:

C:\I_AM_JUST_A_SIMPLE_WORM_BY_Galaxynet_IRC_#VX

7. En su interior se copia el archivo OWEN&BECKHAM.JPG.BAT, que es una copia del gusano.

8. Para intentar propagarse a través de los canales de IRC, se busca y modifica el archivo SCRIPT.INI del mIRC, si éste existe.

9. Intenta borrar los siguientes archivos, pertenecientes a conocidos antivirus:

avp32.exe
antivir.vdf
tc.exe
scan.dat
tbav.dat
fpw32.dll

También intenta borrar varios archivos de aplicaciones Norton

10. Realiza la siguiente modificación en el registro, para autoejecutarse en próximos reinicios:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Ksflt = "C:\Windows\IamJustAWormWhoLovesRio.vbs"

11. Finalmente, intenta enviarse a través del correo electrónico, en un mensaje similar al descripto antes. Las direcciones de envío son tomadas de la libreta del Outlook.

El gusano posee el siguiente texto en su código:

- England Worm by Beckham & Owen. 
- We will win the World Cup 2002!!!
- Owen so cute ! So is Beckham !
- World Cup winner! England!
- England Win World Cup 2002
- England! Do your Best!!
- Go England Go!! I love You!!
- Denmark Go Home! Don't Play World Cup 2002!!
- I HATE Denmark!!!!!!
- Beckham kick everyone asses! hehee! :P


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el virus

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Ksflt

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Restaure los archivos autoexec.bat, win.ini y system.ini de una copia de respaldo.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS