Inicio de zonavirus, antivirus
zonavirus / noticias / deteccion y eliminacion de virus lechuck con elistara 14.74

DETECCION Y ELIMINACION DE VIRUS LECHUCK CON ELISTARA 14.74

msc hotline sat
Monday, October 1, 2007
A partir de hoy se controlará y eliminará la nueva variante de Lechuck, que genera un wins.exe que nos mareó en algun que otro tema, ya que al eliminarlo daba error al ejecutar ficheros de algunas extensiones.



Se resume acciones que hacía y que restauramos a partir de dicha version del ELISTARA.EXE:





Al ejecutar el fichero que llega por MSN descarga el DOWNLOADER (LECHUCK.DLDR) en el fichero 1.BAT, que realmente es un .EXE



"1.BAT" Al ejecutarlo sin conexion solo crea LECHUCK.BAT a 0 bytes



Si tiene conexión:



Descarga y copia a C: los siguientes ficheros y los que se indican al respecto, les añade atributo de R (Read Only) H (Hidden) y S (System)



%WinSys%\ LECHUCK.EXE (+r+h+s)

%WinSys%\ LECHUCK.HTA (HTML, contiene "Ya no mas guerras, ya no mas asesinos...")

%WinSys%\ CMD.COM (+r+h+s) copia del gusano

%WinSys%\ WINS.EXE (+r+h+s) copia del gusano

%WinDir%\ REGEDIT.COM (+r+h+s) copia del gusano

%WinDir%\ SPOLIS.EXE (+r+h+s) copia del gusano





%WinSys%\ CC.DLL (a 0 bytes)

%WinSys%\ ZIP32.DLL (libreria no vírica posiblemente con funciones de Compresión y Descompresión)



C:\ AUTORUN.INF (+r+h+s) -> lanzando el "SPOLIS.EXE"



(Este AUTORUN.INF ES DETECTADO COMO LECHUCK.INF)

________



Copia a unidades extraibles dicho AUTORUN.INF y SPOLIS.EXE (Se propaga por pendrive)



Desactiva la restauración del sistema, la Edición del Registro y el Administrador de Tareas.



Intercepta la ejecución de los tipos de archivo "batfile", "cmdfile", "comfile", "exefile" y "piffile"



_________



Como se ve la malicia es la de propagar por pendrive dicho virus, el cual se esconde en ficheros con atributo de R, H, S para dificultar su deteccion, y si se borra el fichero wins.exe se queda el ordenador sin poder ejecutar las extensiones indicadas, lo cual puede ser el caso de algunos Temas en los que se nos decia que encontraban a faltar el fichero WINS.EXE y no se conocía esta accion de dicho virus.



Pues para que quede constancia, se informa en este Tema y se aclara que con la version de hoy del ELISTARA ya se detecta, elimina y restauran las moidficaciones realizadas por dicho virus.



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







saludos



ms, 1-10-2007

 RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
zonavirus / noticias / deteccion y eliminacion de virus lechuck con elistara 14.74
© 1998-2025 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto