 |
 |
||
|
|
|||
Principal |
El día 17 ó 18 de este mes de julio apareció un virus llamado "Sircam", que los antivirus no detectaban. Éste mandaba correos a los contactos de la libreta de direcciones del ordenador infectado y a los que encontraba en la memoria cache de las páginas visitadas por Internet. Al enviar los correos, adjuntaba un documento o una imagen del equipo contaminado, cuyo tamaño podía ser considerable, por lo que debido a esto y a la gran difusión obtenida saturó muchos servidores y buzones de correo a los pocos días de haber sido lanzado a la red. Se expandió con tanta rapidez porque en muchas ocasiones el remitente era conocido. Además, el tema o asunto del correo se tomaba del archivo adjunto, pareciendo todo muy normal. El mensaje era asimismo muy astuto: Te mando este archivo para que me des tu punto de vista. Nos vemos pronto, gracias. Hay pequeñas variaciones de este mensaje, pero el contenido es similar. Se difundió en inglés y en castellano. ¿Cómo destruirlo si su antivirus no lo detecta? Lo primero que debería hacer es poner al día su antivirus, dado que ya lo detectan. Si, por el motivo que sea, no lo puede actualizar o no lo quiere actualizar, entonces ha de tener en cuenta que se ubica en la papelera de reciclaje y en la carpeta "system" de Windows. En la papelera, hay dos copias ocultas: "Sirc32.exe" y la de la extensión de los archivos adjuntos que usa para mandar los correos. En la carpeta "system", se aloja un archivo denominado "Scam32.exe". Entre en "C:\windows\system" y borre el archivo "Scam32.exe". Inmediatamente, en el entorno "MS-DOS", que se halla en el menú de inicio en "programas", escriba lo siguiente: "C:\windows>cd.. (y presione la tecla "entrar" o "intro") "C:\>cd recycled" ("entrar") "C:\recycled>attrib -h -r -s" (entrar) "C:\recycled>del sirc32.exe" (entrar; si observa otro archivo con el virus, bórrelo también; teclee "C:\recycled>dir" para ver el contenido de la papelera de reciclaje) "C:\recycled>exit" (entrar) Un vez hecho esto, en el menú de inicio vaya a "ejecutar" y escriba lo siguiente: "regedit bat". Si no se visualiza, ponga "C:\copy regedit.exe regedit bat", y vuelva a mecanografiar "regedit.bat". Le saldrá la siguiente pantalla:  Ahora, desde aquí, busque "sirc32" y "scam32" y suprima todas las líneas en que aparezcan estos nombres. Donde le salga "C:\recycled\sirc32.exe" debe poner "%1"%*, es decir, comillas, símbolo de porcentaje, un uno, comillas, símbolo de porcentaje y asterisco. Guarde los cambios y salga de Regedit. Si se equivoca y tiene problemas, desde "C:\" en MS-DOS escriba lo siguiente "scanreg/restore", y escoja un registro de los que le aparecerán anterior al virus. Dele aceptar y listo. A continuación, vaya al menú de inicio y pinche en buscar. Escriba "rundll32.exe", y vea el tamaño del archivo. Si tiene más de 24 kb, esto es, unos 131 kb, bajo MS-DOS teclee lo siguiente: "C:\windows>attrib -h -r -s rundll32.exe" (entrar) "C:\windows>del rundll32.exe" (entrar) Luego, renombre el archivo "run32.exe", que es el antiguo "rundll32.exe", pero que el virus le ha modificado el nombre, y ponga: "C:\windows>attrib -h -r -s run32.exe" (entrar) "C:\windows>ren run32.exe rundll32.exe" (entrar) Después, escriba "C:\>edit autoexec.bat" y si ve lo siguiente: "@win\recycled\SirC32.exe", bórrelo. Vaya a buscar en el menú de inicio, y teclee "scd1.dll", y, posteriormente, "sdc.dll". Si encuentra estos archivos, elimínelos, puesto que el primero se encarga de almacenar el correo a enviar por el virus, y el segundo, de los documentos mandados adjuntos. Llegados aquí, apague el ordenador, espere unos segundos y vuelva a encenderlo. Busque otra vez los archivos del virus en su ordenador (menú de inicio), y si no encuentra ninguno, enhorabuena porque ya ha eliminado el virus. Con esto, el virus debería haberse detenido. No obstante, convendría que actualizara su antivirus y escaneara el equipo. Miquel Molina i Diez miquel@polseguera.com Polseguera.com Julio del 2001
|
Postales virtuales |
|
|
info@polseguera.com |