http://www.vsantivirus.com/app-viewmov-a.htm
Nombre: App/ViewMov.A
Tipo: Aplicación maliciosa
Alias: App/ViewMov-A
Relacionados: App/Optimiz-A, App/CrmRest-A
Fecha: 12/jul/03
Plataforma: Windows 32-bit
No se trata de un virus, sino de una colección de aplicaciones para Windows,
basadas en Internet, que pueden ser descargadas de un sitio gestionado por
Avenue Media NV de Curacao, y que por sus características, es detectada como
maliciosa, ya que genera un gran tráfico de correo electrónico (spam).
En forma típica, un usuario puede recibir un email invitándolo a visitar una
página que contiene un video clip gratuito y generalmente de naturaleza cómica.
Otros contactos de su libreta de direcciones también pueden haber recibido
mensajes similares.
El clip no es enviado directamente, sino que se invita al usuario para dirigirse
a un sitio web, desde donde se instalan otras aplicaciones (App/ViewMov.A o App/CrmRest.A),
antes de visualizar el video.
Estas aplicaciones instalan a su vez un programa que dice ser un optimizador de
Internet (App/Optimiz.A). También publicado por Avenue Media NV, este software
es agregado al registro de Windows para autoejecutarse en cada reinicio de la
computadora:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre del Internet Optimizer] = [ejecutable]
Este "Internet Optimizer" (IO) muestra un acuerdo de licencia de usuario final (EULA)
al instalarse, que otorga los derechos a Avenue Media, y donde se incluye lo
siguiente:
"In consideration for viewing of video content,
Avenue Media may send email to your Microsoft
Outlook contacts and/or send instant messages
to your IM contacts offering the video to them
on your behalf. By viewing the video content,
you expressly consent to said activity."
"For your convenience, [IO] automatically updates
itself and any other [IO]-installed software to
the latest available versions at periodic
intervals. In consideration for this feature, you
grant Avenue Media access to your machine to
automatically update [IO], add new features and
other benefits, and periodically install and
uninstall optional software packages."
Básicamente, el texto advierte que en consideración por visualizar el contenido
del video, Avenue Media puede enviar mensajes similares al recibido por usted, a
todos los contactos del Microsoft Outlook, además de mensajes instantáneos a la
lista de estos contactos (Instant Messenger), ofreciéndoles también a ellos el
video.
Si usted visualiza el video, se asume su consentimiento tácito para que lo
anterior ocurra.
Además, la EULA advierte que cada cierto tiempo, el software instalado podrá ser
actualizado, incluyendo algún programa extra que no menciona. Además avisa que
Avenue Media accederá a su computadora para ello (utilizando determinados
puertos, pero no lo aclara).
Si usted acepta los términos e instala el software para ver el video ofrecido,
pondrá en riesgo su sistema ante la posibilidad de acceso clandestino. Aunque la
EULA lo advierte, no se menciona cuáles ni para que se instalarán estos
programas extras.
Demasiado riesgo solo para poder visualizar un video, que además usted no
solicitó. Además, será el culpable de generar el spam que recibirán todos los
contactos de su libreta de direcciones.
El mensaje recibido no contiene adjuntos. Se debe visitar el sitio indicado en
el mensaje para que se produzca la descarga y ejecución de los componentes
activos.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el
ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro
troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente
cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades
de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión
de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Para la limpieza de este troyano, solo actualice sus antivirus con las últimas
definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego
borre los archivos detectados como infectados.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse
ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la
siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna
"Nombre", busque y borre la siguiente entrada:
[nombre de la aplicación "Internet Optimizer"]
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar
aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows
Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos
conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas
ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos
los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del
sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder
eliminar correctamente este virus de su computadora, deberá deshabilitar antes
de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com