NUEVA VERSION 1.4 DEL ELIDELA.EXE (NOPIR) Y ELIRESTR.VBS 1.6

[msc hotline sat]

Como sea que el NOPIR-4 que McAfee detecta como W32/Generic.worm.b virus con los DAT actuales 4519 restringen mas historias que sus predecedores, además de lo que ya restableciamos en la version 1.3, hemos desarrollado esta 1.4 para normalizar las claves de registro que bloquean la ejecucion del REGEDIT.EXE y del WSCRIPT.EXE , pues de lo contrario, aunque eliminabamos el virus, quedaban interceptadas las ejecuciones del REGEDIT asi como de todos los VBS o/y JS que quisieran ejecutarse, incluyendo el ELIRESTR.VBS, al que se le ha tambien dotado de la eliminacion de estas restricciones a partir de la v 1.6



Evidentemente no podremos ejecutar normalmente ni los VBS, pero sí abriendolo con INTERFACE DE COMANDOS DE MSDOS, desde windows (Boton derecho->abrir con interfaz de comandos del DOS) o bien arrancando en modo seguro, en solo simbolo de sistema y desde opciones de comando entrar:



CSCRIPT.EXE ELIRESTR.VBS



ya que asi no usaremos el WSCRIPT.EXE para ejecutar los .VBS



Si el NOPIR-4 impide la ejecucion de cualquier fichero, incluso arrancando en modo segruo, por interceptar todas las extensiones, y asi restringir su ejecucion, debe arrancarse en modo seguro en solo simbolo de sistema y copiar el ELIDELA.EXE como OUTLOOKREM.EXE en la carpeta C:\PROGRAM FILES\OUTLOOK.SAV

con la siguiente instruccion:



COPY ELIDELA.EXE C:\Program Files\Outlook Express.sav\outlookrem.exe



desde la carpeta donde se tenga el ELIDELA.EXE



y tras ello reiniciar y ejecutar normalmente el ELIDELA con doble click en donde esté.



Esto "suicidará" el gusano al ejecutar la herramienta de eliminacion pensando que es el gusano interceptor, y la ejecucion del ELIDELA camuflado hasta se eliminará él mismo.



Y así lo hemos logrado eliminar en las incidencias que hemos tenido, pues de otra forma las claves de registro modificadas impiden su eliminacion, pero por suerte, todavía no existe "el crimen perfecto".



elirestr.vbs: version 1.6 restaura clave de bloqueo REGEDIT.EXE WSCRIPT y otros que se bloquearan por nombres como en el caso del ultimo NOPIR (4) (en tal caso abrir con CSCRIPT en solo simbolo de sistema ejecutando CSCRIPT ELIRESTR.VBS o desde windows con boton derecho y ABRIR CON INTERFAZ DE COMANDOS DEL DOS)



elidela: ---v1.4--- (23 de Junio del 2005) (Mejoras en el Registro de Sistema)





Ya se han subido estas utilidades a esta web, para poder descargarlas para pruebas de evaluacion en el foro de zonavirus.



saludos



ma, 23-06-2005

[msc hotline sat]

Para saber cuando aplicar estas normas de eliminacion de esta 4ª variante del NOPIR, podemos utilizar la diferente deteccion de McAfee al respecto, que a partir de los DAT 4522 identifica a este gusano como NOPIR, a diferencia de los anteriores que conociamos cono GENERIC DEL el primero y como DEL_470 la segunda y tercera variantes.


[quote="Con DATS 4522 VirusScan de McAfee"]
Scanning for 134040 viruses, trojans and variants.







06/28/2005 10:07:44





Options:

A: /ALL /REPORT A:NOPIR4.TXT



Scanning A: []

Scanning A:\*.*

A:\mmsete.exe ... Found the W32/Nopir virus !!!

A:\outlookrem.exe ... Found the W32/Nopir virus !!!
[/quote]

Con lo cual ya podemos saber cuando utilizar el proceso que indicamos en el post anterior.



saludos



ms, 28-06-2005