*
Información del Virus en cuestión
Tasin.A
Peligrosidad: ***
Daño: ****
Propagación:**
Nombre común: Tasin.A
Nombre técnico: W32/Tasin.A.worm
Peligrosidad: Alta
Alias: I-Worm/Pawur.A
Tipo: Gusano
Efectos: Se propaga rápidamente mediante el correo electrónico utilizando su propio motor SMTP.
Plataformas que infecta: Windows XP/2000/NT/ME/98/95
Fecha de aparición: 19/11/2004
¿Está en circulación? Si
País origen: ESPAÑA
Descripción Breve
Tasin.A es un gusano que se propaga a través del correo electrónico, en un mensaje de características variables escrito en castellano.
Tasin.A contiene código que intenta borrar todos los archivos con alguna de las siguientes extensiones: ASM, ASP, BDSPROJ, BMP, CPP, CS, CSPROJ, CSS, DOC, DPR, FRM, GIF, HTM, HTML, JPEG, JPG, MDB, MP3, NFM, NRG, PAS, PCX, PDF, PHP, PPT, RC, RC2, REG, RESX, RPT, SLN, TXT, VB, VBP, VBPROJ, WAV y XLS.
Además, Tasin.A establece una conexión HTTP con un determinado sitio web.
Síntomas Visibles
Tasin.A es fácil de reconocer una vez ha afectado el ordenador, ya que muestra los siguientes mensajes en pantalla cuando es ejecutado (en forma de cuadros de mensaje):
"Pulse aceptar para seguir"
"Este juego solo trata de responder unas preguntas... Y si se aciertan todas... Pues ustd se llevará el premio XDDD. Pulse Aceptar"
"Ya casi estamos listos para empezar si ustd lo está pulse Aceptar"
"Ahora por tonto contemos hasta cincuenta porque a mi me da la GANA!!! QUE PAISA?"
Todos estos mensajes intentan distraer la atención del usuario mientras el gusano realiza la propagación a través del correo electrónico.
Empieza a contar desde 0 a 50, mostrando cada número en un mensaje distinto:
"Todos Juntos :>0"
"Y ya se acabó, ahora si que empezó el juego..."
Finalmente, muestra una ventana blanca que ocupa toda la pantalla y contiene el siguiente texto:
"Pulse CTRL+0+8+n+6 PARA PASAR VER LAS FOTOS SIGUIENTES"
Metodo de Infección
Tasin.A crea los siguientes archivos:
SVCHOSL.PIF en el directorio de sistema de Windows. Este archivo es una copia del gusano.
M.ZIP en el directorio de sistema de Windows. Este archivo es una copia del gusano, comprimida en formato ZIP.
INZAX.EXE en el directorio de sistema de Windows. Este archivo se encarga de mostrar los mensajes que distraen la atención del usuario.
SW.EXE, SX.EXE y SZ.EXE en el directorio de sistema de Windows. Estos archivos son programas que el gusano utiliza para enviarse a sí mismo a través del correo electrónico.
INZAE.PIF, PH003.PIF, RD2_ROBERTO.PIF, EXTASIS8.PIF, SIMBOLIC3.PIF, SIN_MAS_MENOS.PIF y CODM en el directorio raíz de las unidades C:, D:, E: y F:.
Tasin.A crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Svchosl = %sysdir%\ svchosl.pif
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Tasin.A consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
Tasin.A se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:
Llega al ordenador afectado en un mensaje de características variables, escrito en castellano:
Asunto: uno de los siguientes:
re:xD no me lo puedo creer!!
re:Crees que puede ser verdad?
re:Amor verdadero
re:Déjate de rollos y vivé!!!
re:Pisología
re:Neptuno y Mercurio
re:La Luna
re:Voodoo un tanto ps...
re:Eso con queso rima con...xD
re:Como el aire...
Contenido: uno de los siguientes:
No veas que cosas xD,luego me cuentas,chao.
Crees en el amor de verdad?,miralo y ya hablamos,ciaooo
Mira lo que te mando y ya verás que los detalles mas pequeños son los que importan,ciaoo
Test para ver si andas bien de las neuronassss!xD,luego hablamos, chao
Qué relación tienen estos planetas?,miralo y luego me cuentas,chao.
Esa moribunda y solitaria Luna,Impresionante!chao.
Será cierta la magia negra?,sal de dudas y ya me cuentas,chao.
No comment,xDD,Nos vemos!!
Renvíalo a todo que es que se meannn xD,nos vemos!
Archivo adjunto: uno de los siguientes:
D-INCÓGNITO.ZIP
EL_RECHAZO.ZIP
LOVE-ME.ZIP
MOON(LUNA).ZIP
MY LIFE(MI VIDA).ZIP
PARA-BRISAS.ZIP
PLANETARIO.ZIP
PSÍQUICO-MIX.ZIP
RIMAZ.ZIP
VOODOO!.ZIP
El ordenador es afectado cuando el archivo adjunto es ejecutado.
Tasin.A se envía por correo electrónico utilizando su propio motor SMTP y con conexión a su propio servidor SMTP local.
Otros Detalles
Tasin.A está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 49331 Bytes y está comprimido mediante MEW.
¿Cómo saber si tengo Tasin.A?
En primer lugar, compruebe si ha recibido un mensaje de correo electrónico con las características descritas. Para verificar con exactitud si Tasin.A ha afectado su ordenador, realicer un análisis completo del ordenador con su antivirus, después de verificar que está actualizado (aunque esto es más que obvio, jejeje).
¿Cómo eliminar a Tasin.A?
Ante todo, si ha recibido un mensaje con algunas de las características descritas en el apartado Método de propagación, no ejecute el archivo adjunto y borre el mensaje, incluso de la carpeta de Elementos Eliminados.
Después, si durante el proceso de análisis con su antivirus detecta a Tasin.A, el antivirus le dará automáticamente la opción de eliminarlo: hágalo, siguiendo las instrucciones del programa.
Finalmente, para restaurar la configuración original de su ordenador, siga estas instrucciones:
- Borre la entrada que Tasin.A ha creado en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Svchosl = %sysdir%\ svchosl.pif
donde %sysdir% es el directorio de sistema de Windows.
- Reinicie el ordenador.
- Finalmente, para eliminar cualquier rastro de Tasin.A, vuelva a realizar un análisis completo de su ordenador con antivirus.
¿Cómo protegerse de Tasin.A?
Para mantenerse protegido, tenga en cuenta los siguientes consejos:
- Si dispone de herramientas de filtrado, configúrelas para que rechacen los mensajes que cumplan las características mencionadas. Si a pesar de esto, recibe un mensaje con el virus: no lo abra, no ejecute su archivo adjunto y bórrelo de la carpeta de Elementos eliminados.
- Instale un buen antivirus en su ordenador. Mantenga su antivirus actualizado. Si admite actualizaciones automáticas, configúrelas para que funcionen siempre así.
- Tenga activada la protección permanente de su antivirus en todo momento.
Información extraída de la Enciclopedia de Virus de Panda Software, les recomiendo que la visiten porque tiene mucha información de los virus que azotan los ordenadores del mundo:
http://www.pandasoftware.es/virus_info/