Visita el Blog de Virus Attack!
 Hacer página de inicio  Agregar a Favoritos  Recomendar a Amigo  Contacto  Ayuda

Usuario: 
Clave: 

  Portada
  Alertas
  Hoaxes
  Scams
  Ránking
  Parches
  Antivirus
  Sorteos
  Webmasters
  Base de datos
  Scan on line
  Herramientas
  Download
  Enviar Ejemplo
  Boletín de Noticias
  Listas de correo
  Anuario
  Noticias
  Artículos
  Entrevistas
  Documentos
  FAQ´s
  Acerca de
  Publicidad
  Links
  Sitios Afiliados
  Colaborar
  Contáctanos
  Enlázate
  Ayuda
  Menciones



¡Afiliate YA!

  Boonic.com
  El Chaleco Anti-balas
  Nicolas Davyt
  Pequelandia
  Poesías
  PsicoFXP
  Recuperación de datos
  Serviguianet
  Talleresdelweb.com
  Web de LU3CM

¡Afiliate YA!




BUSCAR:
 
  VIRUS
W32/Prestige
Nombre:  W32/Prestige
Aliases:  W32/Duksten.H, I-Worm.Gain, I-Worm.Skudex, W32/Prestige, W32/Pretige, W32/Skud, W32/Skudo, Win32/Gex, Worm/Antiax, Worm/BogusBear
Variantes:  W32/Prestige.B
Fecha de Descubrimiento:  12/12/2002
Tipo:  Gusano de internet
Gravedad:  Media
Origen:  Desconocido
Información:  Simula contener fotos del buque petrolero hundido en las costas de España para engañar al usuario.
Características:  El gusano puede llegar a nuestro sistema en un mensaje de correo electrónico con las siguientes características:

De: fotos_prestige@mareanegra.net

Asunto: fotos INEDITAS del PRESTIGE en el fondo del Atlantico!

Archivo adjunto: pretig.zip

Si el usuario ejecuta este archivo ZIP y posee alguna utilidad para descomprimirlo accederá al propio archivo del virus con el mismo nombre y extensión .exe. Éste posee el icono de una cámara fotográfica y al ser ejecutado muestra el siguiente mensaje:

Desea instalar este PluG-In (sin coste telefonico adicional) y acceder a las fotos ineditas jamas mostradas en Tv del PresTiGe en el fondo del Oceano Atlantico?

Este mensaje cuenta con dos botones con las leyendas Si y No. Si el usuario presiona en Si otro mensaje es mostrado:

La version actual de WININET.DLL impide instalar el PluG-In Atentamente::Grupo 29A

Luego de esto el virus se copia al directorio C:\Windows\System con el nombre prestige.exe. También extrae los siguientes 3 archivos:

C:\Windows\System\m_prgrm.zip
C:\Windows\System\m_Base64.xrf
C:\Windows\System\m_WAB.XRF

El primero de ellos de nombre m_prgrm.zip es una copia comprimida del virus, el siguiente de nombre m_Base64.xrf es una copia del virus en formato MIME-encoded el cual es utilizado para enviarlo por correo electrónico, el último - m_WAB.xrf - almacenará las direcciones de correo electrónico que obtenga de la Libreta de direcciones del sistema para luego enviarles el mensaje con el virus.

Como tantos otros virus, este también renombra el editor del registro de Windows. El archivo original del editor ubicado en el directorio C:\Windows con el nombre regedit.exe es renombrado como m_regedit.exe mientras que el virus se copia con el nombre original. Por lo tanto, cuando el usuario llame al editor, el virus ejecutará su código y luego ejecutará el propio editor logrando de esta manera que el usuario no perciba los cambios.

Para ejecutarse en cada inicio del sistema, el virus agrega el valor XRF = C:\windows\system\PresTiGe.exe a la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run del registro de Windows.

En cada ejecución, el gusano envía copias de si mismo a todas las direcciones obtenidas mediante el servidor SMTP por defecto en el sistema.

Si la fecha del sistema contiene como año el 2003 en lugar de ejecutar el envío masivo por correo reiniciará el sistema, logrando de esta manera un ciclo ya que al próximo inicio el gusano se ejecutará nuevamente y reiniciará el equipo una vez mas.

Por ultimo, verifica si algun programa del tipo depurador lo está examinando. Si esto sucediese muestra el siguiente texto:

WKaPCOM.PresTiGe bY XRF GrP,Diciembre2002 XRF code HiStorY 1990-2002 (Virus FaseII Virus3 TestIV TheHanGeD AuTumM92 ScaNner _1993_ ScaMer ScaMNer ModUlaR VRandom VRamExE VRaPExE W32_1st GxSMTP Anti29A ReWind HooKeY VHooKeY XPector UXPector WKaPExE dfendEr & WKaPCOM )

Para eliminarlo:  Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí.
Agregado el:  15/12/2002
Modificado el:  21/12/2002
BOLETIN DE NOTICIAS:
  
ALERTAS  
W32/Cuydoc: Solo infecta versiones en Español de Windows. Es capaz de eliminar todos los archivos .doc de Mis documentos y copiarse a la unidad A: si algún disquete es encontrado.
W32/IRCBot.B: Se trata de una variante de la familia SDBot. Fue detectado propagándose a través del correo electrónico, como spam, pero no tiene ninguna rutina para propagarse por ese medio. En cambio, puede ser distribuido a través de los canales de IRC.


ENCUESTAS  
¿Qué antivirus utiliza?
Ver todas las encuestas
HOAXES  
  InMoRtALLeTtEr666   
  Matrix.pps   
  Aflino   
Ver nuestro listado de falsas alarmas
RANKING  
Virus más reportados en los últimos 30 días:
 
PARCHES  
Parche acumulativo para Internet Explorer  
Vulnerabilidad en Visual Basic para Aplicaciones permite ejecución de código arbitrario   
Vulnerabilidad permite que Macros se ejecuten automáticamente en Microsoft Word  
Ver nuestro listado de parches
WEBMASTERS  
Podés incorporar nuestras noticias y alertas en tu sitio:
VAIYS: ¡gratis y sin programación adicional!
ACTUALIZACIONES  
AVAST y AVAST32
AVG
BitDefender
CSAV
Dr. Solomon's AVTK
ESafe
Eset NOD32
F-Secure
IBM Antivirus
InnoculateIT
Kaspersky Antivirus (AVP)
McAfee VirusScan
Norman Virus Control
Norton Antivirus
QuickHeal
Panda Antivirus
PcCillin
Sophos Antivirus
0