Lo especial de este virus es que intercepta gran cantidad de claves y restringe la ejecucion de dseterminados ficheros, aparte de eliminar el WINWORD.EXE, asi como modifica el fichero HOSTS impiediendo que se conecte a las webs de muchas casas antivirus como McAfee.com, asignado su IRL a 127.0.0.1, y envia mails masivamente anexando fichero virico.
Por la gran cantidad de claves que modifica, hemos hecho una utilidad de restauracion ELIANKA.EXE, que ya contempla las variantes hasta la F, seghun gusanos, a saber:
variante A carpeta Inicio\ SERVICES.EXE
variante C %WinDir%\ MSAHKER.EXE
variante D %WinDir%\ CCAPP.EXE
variante D carpeta Inicio\ NORTON.EXE
variante D %WinDir%\ BAZZI.EXE
variante E carpeta Inicio\ BADO.EXE
variante D carpeta Inicio\ MICHO.EXE
variante F %WinDir%\ LSASS.EXE
variante F carpeta Inicio\\ SVCHOST-.EXE
tras lo que los equipos desinfectados solo se les tiene que copiar el fichero que el virus ha eliminado, WINWORD.EXE.
Una descripcion de ellos permite ver las claves modificadas y las restricciones que realiza:
Para probar nuestra utilidad, puede descargarse de:
saludos
ms, 9-03-2005
msc hotline sat Virus Research Engineer