Entre los Chats latinos se esta esparciendo un virus, el troyano Win32.Apagar, por moda muchos usuarios se lo estan enviando como una broma, no es raro que la gente en los chats se envie archivos, infectandose por accidente, pero en este caso es a proposito.

Nunca ejecute un archivo que reciba por IRC (chats) o en USENET, pues son los lugares favoritos de los creadores de virus.

Si tienes curiosidad, hay que tener un antivirus actualizado y revisar el archivo primero.

Por otra parte, dado que estuvo circulando un falso aviso de un virus Matrix, alguien se decidio a escribirlo, y para despistar este programa tiene una docena de nombres distintos.

Ya he recibido varios avisos de infeccion, por lo que debe considerarse de cuidado.

Recuerden, tengas actualizados sus antivirus y practiquen computacion segura.

• . i. Win32.Apagar, el virus de moda
• . ii. Virus I-Worm.Melting
• . iii. Matrix, la segunda parte...

 
 Nombre   : Win32.Apagar, el virus de moda
Tipo     : Troyano
ubicacion: IRC
carga    : apaga la maquina y borra archivos
sistema  : windows 95 y 98
   

Este es un troyano, se esparce principalmente a traves del IRC, viene en dos partes, un progama cargador, y el cuerpo del virus. El programa tiene la extension ".exe" y normalmente se distribuye con el nombre "porno.exe", sin embargo la persona que lo envia puede cambiarle el nombre.

El cuerpo del virus tiene la extension ".dll" y puede tener cualquera de los siguientes nombres:

 
  evangelion_34rf.dll
 pokemon_34rf.dll
 skinheads_34rf.dll
 friends_34rf.dll
 south_park_34rf.dll
 hitler_34rf.dll
 simpsons_34rf.dll
 euro2000_34rf.dll
 ff8_34rf.dll
   

El virus es enviado como broma entre los usuarios de los chats latinos, pues el virus al infectar genera el siguiente mensaje:

 
 1: debes infectar a la víctima
[...]
7: apuntarte el nick para si lo ves reírte de el
   

Cuando el componente principal es enviado y ejecutado por la victima que lo quiere ver, este instala al cuerpo delvirus en el directorio de windows, entonces genera un mensaje de error falso.

el cuerpo del virus es renombrado a

 
   RundDll34.exe
   

y se instala en el menu de inicio:

 
 c:\windows\menú inicio\programas\inicio\rundDll34.exe
   

De esta manera se ejecuta automaticamente cada ves que se inica la maquina.

EL troyano tiene dos cargas, una provoca que cada hora la maquina se apaque automaticamente.

La segunda carga es destructiva, pue en los dias: 25 y 30 de junio de 2000, 25 y 30 de julio de 2000 y el 13 de agosto de 2000 el virus borra varios archivos:

 
 C:\COMMAND.COM
C:\AUTOEXEC.BAT
C:\CONFIG.SYS
C:\WINDOWS\SYSTEM.DAT
C:\WINDOWS\USER.DAT
   

con lo que windows ya no se puede iniciar. El virus fue desarrollado por un programador de virus español.

Localice en el menu de inicio el archivo RunDll34.exe y cuaqluira de los archivos mencionados arriba.

 
 Nombre      : I-Worm.Melting
tipo        : gusano , Visual Basic
distribucion: E-mail
   

Este es un gusano que se ha estado espaciendo rapidamente por internet, es bastante pequeño, alrededor de 18kb, y esta escrito en VisualBasic

Este nuevo virus de gusano se expande rápidamente por Internet. Es un programa ejecutable de Win32 que ocupa alrededor de 18Kb, y está creado con el lenguaje VisualBasic.

Llega por correo electronico como un archivo adjunto llamado:

 
 "MeltingScreen.exe"
   

Llega en un correo con elnombre de:

 
 "Fantastic Screensaver",
   

El mensaje dice:

 
  Hello my friend !

 Attached is my newest and funniest Screensaver, I named it
 MeltingScreen. Test it and tell me what you think.
 Have a nice day my friend.
 p.s.: Please install the Runtime Library for
 VB 5.0, before you run the
 ScreenSaver.
   

"Hola Amigo" "Incluido encontraras mi mas reciente y divertido salvapantallas, lo llame MeltingScreen. Pruebalo y dime que opinas. Que tengas un buen dia amigo...".

Cuando el archivo adjunto es ejecutado, el virus toma la libreta de direcciones de Outlook y les envia una copia de este correo, a todas las direcciones.

Posteriormente el virus renombra todos los programas con extensión EXE del directorio de WINDOWS y los deja con la extensión BIN, con lo que windows deja de funcionar, y no puede volver a iniciarse.

El virus contiene varios errores de programacion por lo que la computadora se peude trabar en ese momento.

Posteriormente el virus ademas SI funciona como salva pantallas, pues provoca el efecto de derretir la pantalla.

Afortunadamente el virus no borra nada, por lo que los archivos pueden ser renombrados desde DOS de .bin a .exe, si esto no es suficiente, tal ves necesite reinstalar y reparar su instalacion de windows. Despues debe localizar y borrar el archivo:

 
 "MeltingScreen.exe"
   

Posterirmente seria buena idea avisar a todas la direcciones en su libreta de que les ha enviado un virus.

iii. Matrix

 
 nombre: W95.MTX
alias : W95.Oisdbo
Tipo  : gusano
tamaño : 9250 bytes
detectado: August 30, 2000
   

El gusano llega en un correo electronico que es enviadopor el mimso virus y que puede contener una rchivo adjunto con cualquiera de los siguientes nombres:

 
  I_wanna_see_you.txt.pif
 Matrix_screen_saver.scr
 Love_letter_for_you.txt.pif
 New_playboy_screen_saver.scr
 Bill_gates_piece.jpg.pif
 Tiazinha.jpg.pif
 Feiticeira_nua.jpg.pif
 Geocities_free_sites.txt.pif
 New_napster_site.txt.pif
 Metallica_song.mp3.pif
 Anti_cih.exe
 Internet_security_forum.doc.pif
 Alanis_screen_saver.scr
 Reader_digest_letter.txt.pif
 Win_$100_now.doc.pif
 Is_linux_good_enough!.txt.pif
 Qi_test.exe
 Avp_updates.exe
 Seicho_no_ie.exe
 You_are_fat!.txt.pif
 Free_xxx_sites.txt.pif
 I_am_sorry.doc.pif
 Me_nude.avi.pif
 Sorry_about_yesterday.doc.pif
 Protect_your_credit.html.pif
 Jimi_hendrix.mp3.pif
 Hanson.scr
 F___ing_with_dogs.scr
 Matrix_2_is_out.scr
 Zipped_files.exe
 Blink_182.mp3.pif
   

Es probable que no pueda ver las extensiones desde Outlook.

Cuando el usuario ejecuta alguno de estos archivos, el virus se activa y realizauna serie de operaciones.

Primero localiza el archivo Wsock32.dll , que es el archiv basico que su computadora utiliza para conectarse a internet.

Le cambia el nombre a Wsock32.mtx y lo reemplaza con una copia infectada

Crea un archivo windows.ini que se encarga de esta operacion cuando windows arranque su computadora.

Cuando inicai su computadora el archivo Wsock32.dll infectado es ejecutado, entocnes busca si hay un antivirus instalado, si localiza uno, ya no se ejecuta.

En caso contrario, es ejecutado.

Ademas crea y ejecuta el archivo

 
 Mtx_.Exe
   

que trata de conectarse a la red para bajar actualizaciones del virus, esto es especialmetne peligroso, pues el virus puede cambiar de un momento a otro.

Posteriormente busca los ejecutables de windows 32 y trata de infectarlos, dependiendo de ciertas reglas que tiene programadas.

Ademas crea un registro en windows para que se ejecute automaticamente.

EL virus es muy complejo, lo mejor es actualizar su antivirus para lograr eliminar los archivos infectados.

entre tanto,puede evitar que el virus se siga reproduciento:

localice y borre los archivos W95.mtx W95.mtx.dll W95.mtx.dr MTX_.EXE

Del registro elimine:

 
 HKLM\Software\Microsoft\Windows\CurrentVersion\Run as value
"SystemBackup"="C:\WINDOWS\MTX_.EXE"
   

localice el archivo Wsock32.mtx si existe, reinicie su maquina y desde DOS (solo simbolo del sistema borre primero el archivo Wsock.dll y posteriormente renombre Wsock32.mtx a Wsock32.dll

Lo archivos infectados deben ser reparados poo un antivirus, o reinstale windows.