NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

Nuevo virus gusano con autoenvío de e-mails a las listas de TheBat!

Nombre de virus: W32/STATOR.worm

Alias conocidos: W32 Stator @ mm

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envía e-mail con fichero anexado infectado a las listas de TheBat!

Infección: Por ejecución PHOTO1.JPG.PIF anexado a email recibido (en ruso)

Detección: DATS 4135

Motor necesario: engine 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)

A pesar de que todavía es novedoso para los usuarios españoles el cliente de correo The Bat!, que necesita este virus para propagarse, al ser cada día mas utilizado por sus prestaciones frente a los clásicos conocidos, Outlook, Pegasus, Netscape, etc, cabe poder infectarse sino inmediatamente, en un próximo futuro, por lo que lo anunciamos por este medio, al poder llegar en cualquier momento.

Conjuntamente con dicho cliente de correo, este virus utiliza el servidor de correo SMTP.MAIL.RU para enviar un mail en ruso , y cuando se ejecuta el fichero PHOTO1.JPG.PIF visualiza la imagen de una chica y envía passwords a Internet y los siguientes ficheros EXE son cambiados a extensión VXD:

CONTROL.EXE NOTEPAD.EXE WINHLP32.EXE

MPLAYER.EXE SCANREGW.EXE

Y una copia del gusano toma el lugar de dichos EXE, e incluso otros EXE son igualmente tratados cuando son ejecutados con este virus residente. Además el virus hace copias de sí mismo en el directorio de sistema de Windows con los nombres de LOADPE.COM y SCANREGW.EXE

Para lograr cargarse cada vez que se reinica Windows, crea tres claves en el registro de sistema, que deben restaurarse adecuadamente, no solo borrarlas. Así mismo, los ficheros LOADPE.COM y SCANREGW.EXE del directorio de sistema de windows, no deben borrarse hasta haber restaurado dichas claves, pues de lo contrario, tras reiniciar, no podría ejecutarse ningún fichero EXE.

Para eliminar este virus y dejar restaurados registro de sistema y ficheros, hemos creado la utilidad ELISTATO.EXE, sin usar el Virusscan. Si se eliminan ficheros gusano con Virusscan, podrá restaurarse registro con el ELISTATO, pero los ficheros VXD renombrados por el virus, se habrán de renombrar manualmente, por lo que aconsejamos solo utilizar nuestra utilidad ELISTATO disponible en descargas de utilidades de nuestra web, www.satinfo.es

SATINFO, VIRUSCAN SPAIN SERVICE 3-5-01

Anterior