Nombre de virus: W32 / DUKSTEN.h@mm
Alias conocidos: I-worm.Gain, W32/Prestige, W32/Skudo, Worm Antiax, worm BogusBear,W32/Gex
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero infectado adjunto al e-mail, una vez desempaquetado
Propagación: Por envío masivo de e-mails infectados a direcciones de libreta de Windows
Detección: desde DATS 4238
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de una variante del virus W32/DUKSTEN, en la que se aprovecha el sensacionalismo de la tragedia ocasionada en Galicia por el hundimiento del petrolero Prestige, despertando la curiosidad al recibir un e-mail anexando un fichero ZIP con supuestas fotos inéditas del Prestige en el fondo del mar, e incluso se nos indica que existe una nueva variante que ofrece fotos de nuevas grietas del Prestige, todo lo cual es mentira, y al intentar visualizarlas lo que se consigue es la entrada del virus en el ordenador, y la consiguiente proliferación del virus por envío masivo de e-mails infectados a todas las direcciones de las libretas de Windows, lo cual guarda en el fichero M_WAB.XRF, utilizando el mismo servidor SMTP que tiene definido el ordenador infectado.

Los e-mails infectados pueden parecer provenir de direcciones diferentes:

El ASUNTO con el que llega los e-mail infectados pueden ser:

En cualquier de estos e-mails no hay texto (Vienen con TEXTO vacío)

Los ficheros adjuntos a los e-mail, son respectivamente, PRESTIG.ZIP y GRIETAS.ZIP

Dentro de dichos ZIP, al expandirlos, siempre aparece el fichero PresTiGe.EXE, presentando el icono de una cámara de fotos, cuya ejecución instalará el virus, modificando el registro de sistema, copiando el REGEDIT.EXE a M_REGEDIT.EXE y sustituyendo el original por el gusano, cuya ejecución pondría el virus en memoria y luego, para disimular, ejecutaría el M_REGEDIT.EXE pareciendo una ejecución normal, y además crea en el directorio de sistema de windows los ficheros:

M_PRGRM.ZIP, M_BASE64.XRG, M_WAB.XRF, y el PRESTIGE.EXE que son, respectivamente, el gusano en formato EXE pero simulando ser un ZIP, el fichero infectado codificado para enviarse por e-mail, la copia de la libreta de direcciones a las que enviar los e-mail propagando el virus, y el gusano EXE utilizado desde el registro de sistema para cargar el virus en cada reinicio de Windows.

En alguna variante, cuando se ha ejecutado el gusano, el virus examina la fecha del sistema, y si el año es

2003, provoca un reinicio de Windows, por lo que se deberá arrancar a prueba de fallos para que no se ejecute el registro de sistema y con ello poder ejecutar la utilidad de eliminación.

Actualmente este virus apenas se ha propagado, pero dado su contenido relativo a la actual tragedia que nos afecta, puede tener propagación en nuestro pais, por lo que se emite este comunicado, sin que sea un virus peligroso ni por sus efectos ni por su propagación (por ejecución voluntaria).

ELIMINACION:

Para la eliminación del virus, hemos creado la utilidad ELIDUKS.EXE , que detendrá el proceso vírico en memoria, borrará los ficheros gusano y las claves del registro de sistema afectadas por el virus, además de restaurar la normalidad del fichero REGEDIT.EXE, (si encuentra el M_REGEDIT.EXE creado por el virus), tras lo cual normalmente quedará limpio de virus el ordenador. De todas formas, por si el usuario hubiera borrado algún fichero antes de ejecutar nuestra utilidad, se recomienda finalmente comprobar con el VIRUSSCAN que no quede ningún rastro de este ni de ningún otro virus en el ordenador.

Es importante que antes de ejecutar cualquier utilidad eliminadora de virus, se desactive el VSHIELD residente, lo cual se logra fácilmente pulsando con el Botón derecho sobre el icono del VSHIELD, dentro de la barra de INICIO, e indicar SALIR.

Para descargar las utilidad correspondiente:

Pulsar aquí para bajar el ELIDUKS.EXE

SATINFO, VIRUSCAN SPAIN SERVICE 19 de Diciembre de 2002

Anterior