Al ExploreZip le gusta el número cero

Como prometimos en nuestra última edición, en los siguientes párrafos ampliaremos la información y daremos el método para eliminar el Troj_ExplorerZip , también conocido como Worm.ExploreZip .

Así ataca

Como el Melissa , el Happy99 y el PrettyPark (ver columna Antivirus , en la página 6), el ExploreZip utiliza el correo electrónico para difundirse. Esto significa que no necesariamente está constreñido a las limitaciones geográficas que encuentran otros gusanos, virus y troyanos. Usted puede recibir mañana el mail de un amigo con este virus, y su amigo lo habrá recibido a su vez de un conocido en Taiwan, España o México. Si su equipo está infectado y usted usa el Outlook o el Exchange, enviará automáticamente a sus conocidos el virus.

El ExploreZip llega a la casilla de correo adosado a un mensaje de lo más inocente que dice: Hi (su nombre aquí) ! I received your e-mail and I shall send you a reply ASAP (siglas inglesas que significan As Soon As Possible). Till then, take a look at the attached zipped docs. Bye Aunque el Bye del final puede ser reemplazado por otros saludos, la cuestión es que encontrará un archivo .EXE que supuestamente contiene documentación comprimida (o zipeada , en la jerga). Este archivo se llama zipped_files.exe y si hace doble clic y arranca ese programa, ocurrirán dos cosas.

Primero, recibirá un mensaje de error que dice: Cannot open file: it does not appear to be a valid archive. If this file is part of a Zip format backup set, insert the last disk of the backup set and try again. Please press F1 for help. Segundo, su máquina será infectada mientras usted trata de entender lo que significa ese cartel.

Por supuesto, no hay tal documentación comprimida y usted ha sido engañado. Al hacer doble clic sobre el ejecutable adosado, un programa llamado explore.exe ha sido copiado al directorio System de Windows y se ha añadido una línea del win.ini para que este explore.exe se ejecute toda vez que se arranque la PC. En NT, el gusano altera el Registro . La clave Run de HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows pasa a convocar al explore.exe (que ha quedado grabado en el directorio System32 ).

Qué hace

El explore.exe deja en cero el tamaño de los archivos cuya extensión es .C (código fuente de C), .CPP (fuente de C++), .H (encabezados de programas, usualmente en C), .ASM (código fuente de lenguaje ensamblador), .XLS (Excel), .DOC (Word y otros procesadores de texto) y .PPT (Power Point). Poner un archivo a cero es garantía de pérdida de datos irrecuperable.

Además, utiliza el Outlook y el Exchange para propagarse sin que el usuario lo sepa. No es ninguna mala idea, si su PC está infectada, avisar a las personas cuyas direcciones de e-mail figuran en la libreta de direcciones, porque probablemente habrán recibido el gusano.

Cómo eliminarlo

En Windows 95/98, elimine la lí-nea run C:WindowsSystemexplore.exe del archivo win.ini . Luego, elimine C:WindowsSystemexplore.exe . Elimine también el mensaje que contiene el gusano adosado.

En Windows NT hay que restituir el valor original de la clave Run de HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows y eliminar el explore.exe del disco. En todos los casos, deberá reiniciar la PC para que el gusano (todavía activo en memoria) pase a mejor vida.

PC-Cillin tiene un sistema de rastreo en línea sin cargo del gusano, en http://www.antivirus.com.ar . Symantec, por su parte, tiene lista la actualización para su Norton Antivirus en http://www.symantec.com/avcenter/download.html . Si usted usa un antivirus de otra marca, consulte al soporte técnico o el sitio Web, porque seguramente ya pueden reconocer y eliminar el gusano del sistema.

Por Ariel Torres

---

Conforme a