SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
NUEVO VIRUS W32/YAHA @ mm que se propaga a través de e-mail autoenviándose masivamente a todas las direcciones de la libreta de Windows (WAB)
Envía e-mai aparentando ser un salvapantallas enviado desde una lista de usuarios
Nombre de virus: W32/Yaha @ mm
Alias conocidos: Worm
Yaha.A
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Activación: No tiene
payload conocido
Propagación: Por
envío de e-mails infectados a listas de Windows Adress Book
Detección: DATS 4187
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)
Se trata de un nuevo virus que llega por e-mail, con fichero anexado VALENTIN.SCR,
y con las siguientes características:
Asunto:
De: Melt the Heart of your Valentine with this beautiful Screen saver
Texto:
Hi
Check this screen saver Happy Valentines day
See u
Adjunto:
Valentin.scr
La ejecución del fichero adjunto crea en el directorio C:\Recycled dos ficheros, con atributo de oculto, con el código vírico, el MSMDM.EXE y el MSSCRA.EXE además modifica el registro de sistema para ejecutar el virus en cada ejecución de ficheros *.EXE
HKEY_CLASSES_ROOT\exefile\shell\open\command "(Default)" = "c:\recycled\msmdm.exe" %1 %*
Para la eliminación de este virus y restauración del registro de sistema hemos creado la herramienta ELIYAHA.EXE disponible en nuestra web www.satinfo.es.
Nótese que al estar modificada la clave de los EXEFILE de esta forma, si se borran los ficheros gusano de C:\Recycled, sin modificar la clave, cada vez que se ejecutara un fichero EXE no encontraría el MSMDM.EXE borrado, sin el cual no podría ejecutarlo, igual que ya ocurría con el virus SIRCAM. Por ello aconsejamos utilizar nuestra herramienta ELIYAHA para eliminar dicho virus. Si se han borrado ya los ficheros gusano y no se puede ejecutar ningún EXE, ni el ELIYAHA.exe, deberá eliminarse la dichosa clave ejecutando UNDO.REG
Hay que tener en cuenta que al utilizar este virus la carpeta C:\Recycled para guardar los ficheros gusano indicados, al estar excluida esta carpeta del testeo del antivirus, para no encontrar los virus deshechados en la papelera, un testeo básico no detectará dicho virus si se hace desde el entorno Windows. En cambio un testeo exhaustivo desde el entorno DOS, al examinar todas las carpetas, lo detectará, o bien anulando la exclusión de C:\recycled para el antivirus de Windows. Como que ya son varios los virus que utilizan C:\recycled para esconderse, hemos creido que puede interesar a los usuarios de Windows 9x el que el testeo incial desde el Autoexec.bat del Dos, mire dicha carpeta, además de C:\. Ello se logrará o bien modificando el Autoexec.bat al respecto, o ejecutando la utilidad que hemos realizado a tal fin, SCANRECY.EXE, que cambiará la línea de SCANPM C:\ por la de SCANPM C:\ C:\Recycled , de forma que tras hacer el test de C:\ y ofrecer el resumen, hará a continuación un test en C:\Recycled e indicará también el resumen del mismo, pudiendo distinguir si hay un virus en dichas carpetas, cual es y donde está.
Basta ejecutar esta herramienta SCANRECY.EXE una vez en los ordenadores para que quede modificado el AUTOEXEC.BAT, pudiendo descargarla, como todas nuestras utilidades, de DESCARGAS / UTILIDADES DE SATINFO, en nuestra web www.satinfo.es
Por último recordamos en general tener presentes las 4 REGLAS DE ORO:
1.- TENER EL ANTIVIRUS ACTUALIZADO EN TODAS LAS MAQUINAS.
2.- TENER APLICADOS LOS ULTIMOS PARCHES DE MICROSOFT
3.- NO ABRIR LOS FICHEROS NO SOLICITADOS, RECIBIDOS ADJUNTOS A LOS E-MAIL, AUNQUE SEAN DE PERSONAS CONOCIDAS
4.- NO VISITAR WEBS "RECOMENDADAS" EN E-MAILS O EN MENSAJES RECIBIDOS POR INTERNET.
SATINFO, VIRUSCAN SPAIN SERVICE 21 de Febrero de 2002
