Generic Del


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Nuevo malware que elimina ficheros con extensión .MP3 y .COM del disco duro.

Nombre de virus: Generic Del
Alias conocidos: VB.CZ, Nopir.B, P2P-Worm.Win32.VB.cz, W32/Nopir.B, W32/Nopir-B, W32/Spybot.SC.worm, Win32/VB.CZ, Worm.P2P.Fupi, WORM_NOPIR.B
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por descarga P2P
Activación: Por ejecución manual de fichero
Detección: desde DATS 4478
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)

Recientemente se ha detectado un nuevo malware que McAfee identifica como Generic.DEL y que otros antivirus lo han bautizado como NOPIR.B, el cual aparenta ser un crack para poder duplicar CD's protegidos contra copia en formato MP3, pero que en realidad es un código malicioso que borra todos los .MP3 que encuentra en el disco duro. Además borra los fichero .COM, incluyendo el NTDETECT.COM de arranque en XP y W2000, con lo que los sistemas ya no pueden reiniciar.

En los equipos con Windows 98 o similar, al borrar el COMMAND.COM , también pierden el arranque, pero en estos se recupera fácilmente arrancando con un disquete de inicio y copiando dicho fichero al disco duro, mientras que en sistemas XP o W2k, con NTFS, no es tan trivial la restauración del fichero de arranque.

El troyano también modifica todas las claves de ejecución de ficheros con extensión de tres letras, EXE, COM, PIF, BAT, SCR, VBS, REG , interceptando su llamada con un fichero gusano, que si se borra, impide la ejecución de cualquier fichero con dicha extensión.

Para restablecer el arranque, restaurar claves de registro y eliminar gusano, disponemos de dos herramientas:

TRANSFER, para la creación de discos de inicio, con la cual se deben tener creados discos de inicio de los dos o tres sistemas que se utilicen, como XP y W2k, servidores y clientes. Si no se tienen generados los discos de inicio, se pueden crear desde una máquina con igual sistema operativo que la afectada. Recomendamos tener los disquetes convenientemente etiquetados y guardados.

ELIDELA, utilidad creada especialmente a raíz de este nuevo código malicioso. Deberá ejecutarse en el equipo afectado una vez se haya recuperado el arranque con el anterior disquete, en el que hay la utilidad RESTAURA a tal efecto. Para su ejecución, se deberá arrancar el sistema en modo seguro, en sólo símbolo de sistema, y permitirá eliminar el virus y restablecer las claves de registro, si bien los ficheros .MP3 habrán sido eliminados, y el resto de los ficheros .COM, también borrados por el virus, por lo que estos deberán ser restaurados desde el original o copia de seguridad.

Como ya indicamos, se trata de un código malicioso que puede entrar al sistema por descarga de ficheros a través de sistemas P2P (método habitual de descarga de .MP3).

A título de información, la muestra del fichero vírico al respecto, la hemos recibido con el nombre de fichero AnyDVD 5.1.0.1 Crack for all Versions.exe

Detección y eliminación

El troyano se controla desde los DAT 4478 .

Herramientas para restablecer arranque en ordenadores afectados:

Disco de inicio creado con TRANSFER.EXE

Utilidad de eliminación ELIDELA.EXE

SATINFO, VIRUSCAN SPAIN SERVICE 29 de Abril de 2005