VIRUS:  WIN32/ARISS.A

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

VIRUS:  WIN32/ARISS.A

Compartir

DESCRIPCION

Nombre: Win32/Ariss.A
Aliases: Ariss.A, Assiral.A, .Generic.Mailworm Script, Email-Worm.Win32.Ariss.a, Trojan.VBS.SysLock.a, VBS/Love.A, VBS/LoveLetter, VBS/LoveLetter.CW.gen*, VBS/Unknown, VBS/Worm.Variant!Worm, VBS_ASSIRAL.A, [email protected], W32/Assiral.A.worm, W32/Assiral-A, Win32.Assiral.A, WORM_ASSIRAL.A, W32/Ariss.A
Tipo: Gusano de Internet
Fecha: 24/02/2005
Gravedad general:
Distribución:
Daño:
Tamaño: 43,520 Bytes
Destructivo: No
Origen: Desconocido
Nombre asignado por: ESET


INFORMACION

Gusano escrito en Borland Delphi y comprimido con ASPack, que se propaga masivamente por correo electrónico, e intenta eliminar al gusano Bropia de las máquinas que estuvieran infectadas por ese gusano.El ejecutable requiere algunas bibliotecas en tiempo de ejecución (runtime DLL), por lo que no funciona en todos los sistemas.


CARACTERISTICAS

Los mensajes infectados tienen las siguientes características:

Asunto: Re: LOV YA !

Texto del mensaje:
Kindly read and reply to my LOVE LETTER
in the attachments :-)

Datos adjuntos: LOVE_LETTER.TXT.exe

Cuando se ejecuta el gusano se copia a si mismo con los siguientes nombres:

C:\Windows\LOVE_LETTER.TXT.exe
C:\Windows\SpoolMgr.exe

Luego, se copia en la carpeta del sistema de Windows:

C:\Windows\System32\MS_LARISSA.EXE

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Para autoejecutarse en cada reinicio del sistema crea las siguientes entradas en el registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
MS_LARISSA = c:\windows\system32\MS_LARISSA.EXE
spoolsv manager = c:\windows\SpoolMgr.exe

El gusano también intenta copiarse a si mismo en todas las unidades de disco de la A a la Z, en las siguientes carpetas, además del directorio raíz:

\windows\system32\MS_LARISSA.EXE
\windows\LOVE_LETTER.TXT.exe

También libera y ejecuta los siguientes archivos:

C:\Windows\WinVBS_32.vbs
C:\Windows\System32\REG_32.vbs
C:\LARISSA_ANTI_BROPIA.html

Intenta abrir una página en "www.geocities.com", y modifica la página de inicio predeterminada del Internet Explorer:

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = http://www.geocities.com/????????_sxy

Dicha página muestra la imagen de una mujer:






El script "WINVBS_32.VBS" contiene el código que realiza el envío masivo de los mensajes infectados. De forma similar al gusano Lovletter, utiliza el Outlook y Outlook Express para el envío de estos mensajes a todos los contactos de la libreta de direcciones.

El script chequea y modifica la siguiente entrada del registro:

HKCU\Software\Microsoft\WAB\EddieMail

Si la misma ya existe, no ejecuta su rutina de propagación. Si no existe, la crea y luego se envía por correo electrónico. De este modo, el gusano se enviará una sola vez desde cada máquina infectada.

La página "LARISSA_ANTI_BROPIA.HTML" es mostrada periódicamente por el navegador de Internet en una ventana emergente. En la misma puede leerse el siguiente texto con letras violetas y fondo negro:



Este archivo HTML contiene un script que hace que la ventana se sacuda cada vez que es abierta o refrescada.

"REG_32.VBS" modifica algunas configuraciones de Windows en el registro. Por ejemplo, esconde todas las unidades de disco en el Explorer y deshabilita la posibilidad de editar el registro.

"MESSAGE.TXT" contiene el siguiente mensaje:

Greetz from LARISSA.B!
I will survive,
In this moment in time.
You computer will crash,
So, you will be mine.
I never crash,
I never fail.
So, in this moment in time,
I will survive...
- LARISSA AUTHOR - 5-15-05

El gusano intenta terminar los siguientes procesos, todos ellos pertenecientes al gusano Bropia y sus variantes:

Beautiful Ass.pif
bedroom-things.pif
cz.exe
Hot.pif
ISASS.EXE
John Kerry as Super Chicken.scr
Kool.pif
Me & you pic!.pif
Me Pissed!.pif
msnmsr.exe
my_pussy.pif
naked_drunk.pif
new_webcam.pif
ROFL.pif
sexy.pif
She Could Fit her Ass in a Teacup.pif
she"s fuckin fit.pif
titanic2.jpg.pif
underware.pif
Webcam.pif

También intenta finalizar los siguientes procesos relacionados con antivirus y programas de seguridad:

alogserv.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avpupd.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
isass.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nisum.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
spysweeper.exe
symlcsvc.exe
update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe


INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Descargue el archivo "restaurar.reg" del siguiente enlace:

http://www.enciclopediavirus.com/ima.../restaurar.reg

4. Ejecútelo haciendo doble clic sobre él.

5. Reinicie en Modo a prueba de fallos.

6. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

7. Elimine bajo la columna "Nombre", las entradas "MS_LARISSA" y "spoolsv manager", en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run

8. Cierre el editor del Registro del sistema.

9. Busque y elimine los siguientes archivos:

C:\larissa_anti_bropia.html
C:\Windows\love_letter.txt.exe
C:\Windows\spoolmgr.exe
C:\Windows\winvbs_32.vbs
C:\Windows\System32\ms_larissa.exe
C:\Windows\System32\reg_32.vbs

10. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

11. Cierre todas las ventanas del Internet Explorer abiertas

12. Seleccione "Mi PC", "Panel de control".

13. Haga clic en el icono "Opciones de Internet".

14. Seleccione la lengüeta "Programas".

15. Haga clic en el botón "Restablecer configuración Web"

16. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

17. Haga clic en "Aceptar".

18. Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".

19. Inicie el Internet Explorer.

20. Haga clic en el botón "Búsqueda" de la barra de herramientas.

21. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".

22. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).

23. Haga clic en el botón "Reiniciar" (Reset).

24. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).

25. Elija un proveedor de búsquedas en el menú (Search Provider).

26. Seleccione "Aceptar" hasta salir de todas las opciones.
Compartir
  #1  
Creado: 24-Feb-2005, a las 17:34 Vistas: 506
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
virus


Temas Similares
» VIRUS:  WIN32/MYTOB.CF 0
» VIRUS:  WIN32/MYTOB.BY 0
» VIRUS:  WIN32/MYTOB.BX 0
» VIRUS:  WIN32/MYTOB.BW 0
» VIRUS:  WIN32/MYTOB.BV 0
» VIRUS:  WIN32/MYTOB.BU 0
» VIRUS:  WIN32/MYTOB.BT 0
» VIRUS:  WIN32/OPANKI.B 0
» VIRUS:  WIN32/VB.CT 0
» VIRUS:  WIN32/VB.NBN 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 21:41.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4