Lo especial de este virus es que intercepta gran cantidad de claves y restringe la ejecucion de dseterminados ficheros, aparte de eliminar el WINWORD.EXE, asi como modifica el fichero HOSTS impiediendo que se conecte a las webs de muchas casas antivirus como McAfee.com, asignado su IRL a 127.0.0.1, y envia mails masivamente anexando fichero virico.
Por la gran cantidad de claves que modifica, hemos hecho una utilidad de restauracion ELIANKA.EXE, que ya contempla las variantes hasta la F, seghun gusanos, a saber:
variante A carpeta Inicio\ SERVICES.EXE
variante C %WinDir%\ MSAHKER.EXE
variante D %WinDir%\ CCAPP.EXE
variante D carpeta Inicio\ NORTON.EXE
variante D %WinDir%\ BAZZI.EXE
variante E carpeta Inicio\ BADO.EXE
variante D carpeta Inicio\ MICHO.EXE
variante F %WinDir%\ LSASS.EXE
variante F carpeta Inicio\\ SVCHOST-.EXE
tras lo que los equipos desinfectados solo se les tiene que copiar el fichero que el virus ha eliminado, WINWORD.EXE.
Una descripcion de ellos permite ver las claves modificadas y las restricciones que realiza:
Para probar nuestra utilidad, puede descargarse de:
actualizacion de versiones:
---v1.0--- ( 8 de Marzo del 2005)
---v1.1--- (14 de Marzo del 2005) (Discrimina y en su caso elimina el WINWORD.EXE sobreescrito por el virus)
ELIANKA
---v1.2--- (17 de Marzo del 2005) (Mejora en las entradas del registro de la Restauración del Sistema)
---v1.3--- ( 5 de Abril del 2005) (para el Anker.F y G de VSAntiVirus)
DESCRIPCION NO ACTUALIZADA
CON EL NUEVO FORO V3 DE ZONAVIRUS, VER DESCRIPCION DE UTILIDADES Y LINKS DE DESCARGA EN:
_____________________________________
saludos
ms, 9-03-2005
msc hotline sat Virus Research Engineer