NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


Nueva virus gusano que emplea extensiones PIF para propagarse

Nombre de virus: PIF / FABLE @ MM

Alias conocidos: BLAH.VBS

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envía mails a todas las listas de Outlook y crea fichero BLAH.VBS

Propagación: Por abrir fichero anexado FABLE.PIF, Operativo en W9x /ME

Detección: DATS 4127

Motor necesario: 4.1.40

Infección actual: Inicial (Inicial, Media, Elevada)

Al igual que un 70 % de los ficheros que envía anexados el muy conocido virus MTX, o con similar porcentaje el mas reciente virus BADTRANS, este virus utiliza para propagarse la extensión PIF, (anexando FABLE.PIF) la cual puede parecer inocente, pero propaga dichos virus al igual que otros los ejecutables.

Al haber sido detectada su propagación en España, informamos al respecto.

En este caso es una combinación del PIF que anexa, junto con uno que crea, al que llama BLAH.VBS, los cuales crean varios ficheros BAT y otros PIF, también modifican el registro de sistema con varias claves que ejecutan el virus por varios caminos y lo regeneran si no se elimina en su totalidad. Para ello hemos creado la utilidad ELIFABLE.EXE que no sólo eliminará el gusano y los demás PIF, BAT y VBS creados por el virus, sino también restaurará las claves del registro de sistema, aunque haya desaparecido el REGEDIT.EXE, pues otra de las malicias que tiene programado el FABLE.PIF, es borrar el REGEDIT.EXE para que no se pueda editar el registro de sistema.

Sobre este particular, hemos creado la utilidad COPYSEGU.EXE que puede ejecutarse preventivamente en todos los ordenadores para hacer una copia de seguridad en ellos, de dos fiicheros que son alterados por varios virus, y que si se ha hecho una copia de seguridad, resulta mucho mas fácil su recuperación. Si se ejecuta, se hace una copia de REGEDIT.EXE a REGEDIT.COM, y del WSOCK32.DLL a WSOCK32.SAT, desde los que, nuestras utilidades, podrán restaurar los originales, tanto si son borradas por un virus como si han sido alterados, como hacen el Hybris, el MTX y el SKA con el WSOCK32.DLL o el STAGES y este PIF/FABLE borrando el REGEDIT.EXE. De otra forma deberán restaurarse desde CDROM original o con una copia desde otro ordenador.

Si se han borrado con el SCAN los ficheros infectados, igualmente conviene ejecutar la herramienta ELIFABLE.EXE para restaurar el registro de sistema.

Dichas herramientas están en las utilidades de nuestra web www.satinfo.es

SATINFO, VIRUSCAN SPAIN SERVICE 7-6-2001

 

Anterior