NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


Nuevo gusano w32/Lavehn@MM que borra ficheros

Nombre de virus: W32/Lavehn@MM
Alias conocidos: W32.Lavehn.A@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero UNHEVAL.EXE
Propagación: A través de mensaje de correo electrónico
Detección: desde DATS 4214 (o heurísticamente desde DAT 4100)
Motor necesario: desde 4.1.50
Infección actual: Inicial (Inicial, Media, Elevada)

W32/Lavehn@MM es un gusano mass-mail que también propaga via disquetes. Llega en un mensaje de correo con la siguiente información:

 

Asunto: ADMISION 2003

Mensaje: PROSPECTO DE ADMISION 2003

Adjunto: UNHEVAL.EXE

 

Al ejecutar el fichero UNHEVAL.EXE el gusano se envía a todos los usuarios que encuentra en la libreta de direcciones de Microsoft Outlook, y crea una copia de sí mismo en el directorio de sistema de Windows. Asimismo, crea dos claves en el registro de sistema para provocar su ejecución al inicio del sistema:

 

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\UNH32=C:\WINDOWS\SYSTEM\UNHEVAL.EXE

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\UNH32=C:\WINDOWS\SYSTEM\UNHEVAL.EXE

El gusano borra los ficheros con las siguientes extensiones:

· DOC

· DWG

· MDB

· MP3

· RPT

· XLS

Cada pocos minutos, el gusano se copia a disquete con el nombre de un fichero existente.

Al enviarse masivamente por e-mail y llegar con texto en castellano, es de temer que usuarios de nuestro pais confundan el mensaje vírico con un mensaje normal y ejecuten el fichero anexado. Por ello, y dado el caracter destructivo inmediato que tiene el virus (borrado de los documentos de Word, Excel, ficheros de música, dibujos de Autocad, etc), hemos creído necesario advertir sobre la existencia del mismo.

Para eliminar w32/Lavehn@MM pueden utilizar nuestra utilidad ELILAVEH.EXE, la cual eliminará las claves modificadas por el virus, y el propio gusano creado en el directorio de sistema de Windows. Tras ello, reiniciar el PC y eliminar el mensaje en el que llegó el virus

Recordamos que los ficheros anexados a emails no solicitados, no deben ser ejecutados, aunque procedan de direcciones conocidas, pues es la forma de propagación típica de los virus actuales (gusanos autoenviados por e-mail).

Pueden descargar los DATS y la utilidad ELILAVEH.EXE desde nuestra web www.satinfo.es, entrando en Descargas|Dats y Superdats, y Descargas|Utilidades Satinfo, respectivamente.

 

SATINFO, VIRUSCAN SPAIN SERVICE 26 de Julio de 2002

Anterior