|
Mostrando mensaje 384
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1335 Año 8, miércoles 3 de marzo de 2004 | | Fecha: | Miercoles, 3 de Marzo, 2004 04:48:37 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1335 Año 8, miércoles 3 de marzo de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Mydoom.G. Muestra el icono de Windows Media
2 - W32/Bagle.J. Simula ser una notificación
3 - W32/Bagle.I. Utiliza adjuntos ZIP con contraseñas
4 - W32/Hiton.A. Se propaga por e-mail y redes P2P
_____________________________________________________________
1 - W32/Mydoom.G. Muestra el icono de Windows Media
_____________________________________________________________
http://www.vsantivirus.com/mydoom-g.htm
Nombre: W32/Mydoom.G
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.G, W32.Novarg.G, W32.Novarg.G@mm,
W32/Mydoom.g@MM, Win32.Mydoom.G, Win32/Mydoom.G, Win32/Shimg,
WORM_MYDOOM.G, W32/Mydoom.G-mm, W32/Mydoom-G
Plataforma: Windows 32-bit
Puerto: TCP/1080, 80
Tamaño: 29,696 bytes (UPX)
Fecha: 2/mar/04
Variante del Mydoom detectado en las últimas horas del 2 de
marzo de 2004.
Se propaga por correo electrónico y cuando se ejecuta, abre
el bloc de notas y muestra caracteres sin sentido.
Realiza ataques de denegación de servicio a la dirección
www.symantec.com (Norton Antivirus), y www.symntec.com, los
que comienzan a los 20 minutos después que se ejecute el
gusano.
Puede borrar ciertos archivos del disco duro (.jpg, .avi, y
.bmp), así como desactivar algunos procesos relacionados con
conocidos cortafuegos y antivirus, además de borrar algunos
archivos relacionados con éstos.
Crea copias de si mismo con extensión .EXE y nombres al azar,
en carpetas también seleccionadas al azar.
Los remitentes de los mensajes son falsos, generados con los
siguientes componentes [usuario]+[dominio]:
Usuario:
[caracteres al azar]
alex
bill
bob
james
john
kevin
peter
sales
sam
stan
tom
Dominio:
@[caracteres al azar].edu
@aol.com
@hotmail.com
@msn.com
@yahoo.com
Por ejemplo:
alex@aol.com
sales@hotmail.com
El mensaje puede tener alguno de los siguientes asuntos:
[caracteres sin sentido o vacío]
:-)
:)
account details
Address verification
Alert
anna
Attention
Automatic notification
Auto-reply
Bank information
beauty
confirmed
corrupted
Daily Report
dear friend!
Details are in the attached document
do you love me
do you still love me
Email verification
Empty
excel
excuse me
Expired account
For your eyes only
from me
Full message is in the attached document
fw:
greetings
hello
hello my friend
hello! :)
here
Here is the document
here is the document
Here is the file
Here it is
hey
hey!
hi!
hi! :)
Hi! Check the attachment for details
how are you?
i can tell you the future
i need you
Interesting
jessica
join
just some stuff
kate
kleopatra
Look at the attached file
Look at the document
maria
melissa
Micro$oft
micro$oft must die. support us!
Microsoft
missed
my details
my photos
notification
Ok
Okay
Open the document
pamela
photo
Please have a look at the attached file
please read
Please read the attached file
Please, confirm the registration
Please, read and let me know what do you feel
Please, reply
price list
price-list
pricelist
question
Re:
re:
Read the attached message
Read the document
Read this
read!!!
Registration
Registration rejected
Rejected
Reply
report
Request
Response
See attachemnt
See attachment
See the attached document
See the attached file for details
See the attached message
See you
see you
See you soon
service
some stuff
spreadsheet
summary
Test
thank you
thanks
thanks!
unknown
verification
Warning
we're experiencing technical problems
we're unable to process your request
You have been successfully registered
your account
Your account details
Your account is about to be expired
Your account is expired
your archive
your chance
Your details
your document
Your document is attached
Your file is attached
your letter
your music
Your profile
Your request
your text
your website
Y algunos de los siguientes textos:
Details are in the attached document
Full message is in the attached documen
Here is the document
Here is the file
Here it is
Hi! Check the attachment for details
Look at the attached file
Look at the document
Ok
Okay
Open the document
Please have a look at the attached file
Please read the attached file
Please, read and let me know what do yo
Please, reply
Re:
Read the attached message
Read the document
Read this
See attachemnt
See attachment
See the attached document
See the attached file for details
See the attached message
See you
Test
test
Your document is attached
Your file is attached
Utiliza los siguientes nombres de adjuntos (más extensión):
account
all_document
application
archive
att
attach
attacheddocument
attachedfile
attachment
bill
check
description
details
doc
document
document
file
for_you
found
id
important
info
information
letter
letter
mail
message
message_details
message_part2
misc
more
moreinfo
msg
msg2
music
news
news
no
note
object
part2
payment
paypal
pic
post
posting
price
problem
ps
readme
reply
response
stuff
test
textdocument
textfile
zip
Las extensiones siempre son .COM, .BAT, .EXE, .PIF, .CMD,
.SCR o .ZIP, y en ocasiones el gusano utiliza extensiones
dobles.
Los archivos .ZIP contienen la versión con el mismo nombre y
una de las extensiones anteriores (excepto .ZIP).
El icono del adjunto, representa un archivo de Windows Media,
con la idea de engañar al usuario:
[ver imagen en http://www.vsantivirus.com/mydoom-g.htm]
Cuando se ejecuta, crea los siguientes archivos en el sistema
infectado:
\TEMP\Message
c:\windows\system\[al azar].[extensión]
c:\windows\system\[al azar].dll
Donde [extensión] es una de las siguientes:
.bat
.cmd
.exe
.pif
.scr
NOTA 1: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
NOTA 2: En todos los casos, "c:\windows" y
"c:\windows\system" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system32", etc.).
Para autoejecutarse en cada reinicio, modifica las siguientes
entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[al azar] = c:\windows\system\[al azar].[extensión]
HKCU\Software\Microsft\Windows\CurrentVersion\Run
[al azar] = c:\windows\system\[al azar].[extensión]
Ejemplo:
HKCU\Software\Microsft\Windows\CurrentVersion\Run
soyfwninyhhfn = c:\windows\system\elroe.scr
Cuando se ejecuta, el gusano abre una puerta trasera
ejecutando el archivo .DLL como un proceso hijo (child
process) de EXPLORER.EXE, en el primer reinicio de la
computadora infectada. Para ello crea estas entradas en el
registro:
HKEY_CLASSES_ROOT\CLSID
\{35CEC8A3-2BE6-11D2-8773-92E220524153}
\InProcServer32
(Predeterminado) = c:\windows\system\[al azar].dll
HKEY_CLASSES_ROOT\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
(Predeterminado) = c:\windows\system\[al azar].dll
Un Child Process es un proceso originado por un proceso padre
con el que comparte recursos.
El gusano evita enviar mensajes a cualquier dirección que en
su nombre contenga algunas de las siguientes cadenas:
berkeley
bsd
example.com
fsf.
gnu.
google.
ibm.com
isc.org
isi.edu
kernel.
mit.edu
mozilla.
packetstorm
rfc-edit
rutgers.edu
secur
sendmail.
sf.net
slashdot.
sourceforge
stanford.edu
uci.edu
ucsd.edu
unix
urlon
ymante
Las direcciones para el envío de los mensajes infectados, son
tomadas de archivos seleccionados de diferentes carpetas de
las unidades de discos de la C a la Z. Los archivos
examinados, poseen las siguientes extensiones:
.adb
.asp
.dbx
.eml
.htm
.mbx
.mht
.mmf
.msg
.nch
.php
.rtf
.sht
.tbb
.txt
.uin
.wab
También genera direcciones al azar, usando nombres de dominio
obtenidos de direcciones válidas.
El código del gusano contiene el siguiente texto oculto,
donde se critica al autor o autores del gusano NetSky:
to netsky's creator(s): imho, skynet is a
decentralized peer-to-peer neural network.
we have seen P2P in Slapper in Sinit only.
they may be called skynets, but not your
shitty app.
El gusano abre los puertos TCP/80 y 1080 utilizando su
componente DLL, para actuar como un servidor proxy, además de
descargar y ejecutar otros archivos.
Intenta finalizar y borrar archivos correspondientes a los
siguientes procesos, pertenecientes a conocidos antivirus y
cortafuegos:
adaware.exe
alevir.exe
arr.exe
au.exe
backweb.exe
bargains.exe
belt.exe
blss.exe
bootconf.exe
bpc.exe
brasil.exe
bundle.exe
bvt.exe
cfd.exe
cmd32.exe
cmesys.exe
datemanager.exe
dcomx.exe
divx.exe
dllcache.exe
dllreg.exe
dpps2.exe
dssagent.exe
emsw.exe
explore.exe
fsg_4104.exe
gator.exe
gmt.exe
hbinst.exe
hbsrv.exe
hotfix.exe
hotpatch.exe
htpatch.exe
hxdl.exe
hxiul.exe
idle.exe
iedll.exe
iedriver.exe
iexplorer.exe
inetlnfo.exe
infus.exe
infwin.exe
init.exe
intdel.exe
isass.exe
istsvc.exe
jdbgmrg.exe
kazza.exe
keenvalue.exe
kernel32.exe
launcher.exe
lnetinfo.exe
loader.exe
mapisvc32.exe
md.exe
mfin32.exe
mmod.exe
mostat.exe
msapp.exe
msbb.exe
msblast.exe
mscache.exe
msccn32.exe
mscman.exe
msdm.exe
msdos.exe
msiexec16.exe
mslaugh.exe
msmgt.exe
msmsgri32.exe
msrexe.exe
mssys.exe
msvxd.exe
netd32.exe
nssys32.exe
nstask32.exe
nsupdate.exe
onsrvr.exe
optimize.exe
patch.exe
pgmonitr.exe
powerscan.exe
prizesurfer.exe
prmt.exe
prmvr.exe
ray.exe
rb32.exe
rcsync.exe
run32dll.exe
rundll.exe
rundll16.exe
ruxdll32.exe
sahagent.exe
save.exe
savenow.exe
sc.exe
scam32.exe
scrsvr.exe
scvhost.exe
service.exe
servlce.exe
servlces.exe
showbehind.exe
sms.exe
smss32.exe
soap.exe
spoler.exe
spoolcv.exe
spoolsv32.exe
srng.exe
ssgrate.exe
start.exe
stcloader.exe
support.exe
svc.exe
svchostc.exe
svchosts.exe
svshost.exe
system.exe
system32.exe
sysupd.exe
teekids.exe
trickler.exe
tsadbot.exe
tvmd.exe
tvtmd.exe
webdav.exe
win32.exe
win32us.exe
winactive.exe
win-bugsfix.exe
window.exe
windows.exe
wininetd.exe
wininit.exe
wininitx.exe
winlogin.exe
winmain.exe
winnet.exe
winppr32.exe
winservn.exe
winssk32.exe
winstart.exe
winstart001.exe
wintsk32.exe
winupdate.exe
wnad.exe
wupdater.exe
wupdt.exe
También finaliza y borra los archivos asociados, de cualquier
proceso que incluya en su nombre algunas de las siguientes
cadenas:
avpupd
avwupd
beagle
click
d3du
fuck
hotactio
intren
penis
porn
pussy
reged
sperm
taskmg
taskmo
updat
upgrad
utpost.
Wkufind
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
[al azar] = c:\windows\system\[al azar].[extensión]
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
[al azar] = c:\windows\system\[al azar].[extensión]
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{35CEC8A3-2BE6-11D2-8773-92E220524153}
\InProcServer32
7. Pinche en la carpeta "InProcServer32" y cambie lo
siguiente:
(Predeterminado) = c:\windows\system\[al azar].[extensión]
Por lo siguiente:
En Windows 95, 98 y Me:
(Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL
En Windows NT, 2000 y XP:
(Predeterminado) = %SystemRoot%\System32\webcheck.dll
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
9. Pinche en la carpeta "InProcServer32" y cambie lo
siguiente:
(Predeterminado) = c:\windows\system\[al azar].[extensión]
Por lo siguiente:
En Windows 95, 98 y Me:
(Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL
En Windows NT, 2000 y XP:
(Predeterminado) = %SystemRoot%\System32\webcheck.dll
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Bagle.J. Simula ser una notificación
_____________________________________________________________
http://www.vsantivirus.com/bagle-j.htm
Nombre: W32/Bagle.J
Tipo: Gusano de Internet
Alias: Bagle.J, I-Worm.Bagle.h, I-Worm.Bagle.j,
W32.Beagle.A@mm, W32.Beagle.J@mm, W32/Bagle.dll,
W32/Bagle.gen@MM, W32/Bagle.J.worm, W32/Bagle.j@MM,
W32/Bagle-J, Win32.Bagle, Win32.Bagle.I, Win32.Bagle.J,
Win32/Bagle.J, Win32/Bagle.J.Worm, Win32/Bagle.Variant.Worm,
WORM_BAGLE.J
Plataforma: Windows 32-bit
Tamaño: 12,288 bytes (UPX)
Puertos: TCP/2745
Fecha: 2/mar/04
Detectado el 2 de marzo de 2004, es una nueva variante del
Bagle.F.
Los adjuntos poseen extensiones .EXE, .PIF o .ZIP, en éste
último caso con contraseñas generadas al azar, la cuál se
muestra al usuario en el propio texto del mensaje. Esto
pretende eludir la detección de los antivirus (deben saber la
contraseña para revisar estos archivos).
Además de propagarse a través del correo electrónico, lo hace
por redes P2P, copiándose en carpetas utilizadas por varios
de esos programas para compartir archivos con otros usuarios.
El ejecutable muestra el icono de un documento de WordPad.
El gusano puede enviarse a todas las direcciones de correo
obtenidas de diferentes archivos de la máquina infectada. En
todos los casos el remitente que figura en el mensaje es
falso, y toma el mismo dominio del destinatario.
Posee además un componente de acceso por puerta trasera
(backdoor), y además finaliza la ejecución de varios
antivirus y cortafuegos.
El mensaje que utiliza para su propagación es el siguiente:
De: [Dirección falsa]
management@[dominio]
administration@[dominio]
staff@[dominio]
noreply@[dominio]
support@[dominio]
Donde [dominio] es el mismo del destinatario.
Asunto: [uno de los siguientes]
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Important notify about your e-mail account.
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Warning about your e-mail account.
Texto: [1]+[2]+[3]+[4]+[5]+[6]
Donde el componente [1] puede ser uno de los siguientes:
Dear user of "[dominio]" mailing system,
Dear user of [dominio] gateway e-mail server,
Dear user of [dominio],
Dear user of e-mail server "[dominio]",
Dear user, the management of [dominio] mailing
system wants to let you know that,
Hello user of [dominio] e-mail server,
([dominio] es el mismo del que figura en el remitente)
El componente [2] puede ser uno de los siguientes textos:
Your e-mail account has been temporary disabled
because of unauthorized access.
Our main mailing server will be temporary
unavaible for next two days, to continue
receiving mail in these days you have to
configure our free auto-forwarding service.
Your e-mail account will be disabled because of
improper using in next three days, if you are
still wishing to use it, please, resign your
account information.
We warn you about some attacks on your e-mail
account. Your computer may contain viruses, in
order to keep your computer and e-mail account
safe, please, follow the instructions.
Our antivirus software has detected a large
ammount of viruses outgoing from your email
account, you may use our free anti-virus tool
to clean up your computer software.
Some of our clients complained about the spam
(negative e-mail content) outgoing from your
e-mail account. Probably, you have been
infected by a proxy-relay trojan server. In
order to keep your computer safe, follow the
instructions.
El componente [3] es seleccionado de las siguientes líneas:
Advanced details can be found in attached file.
For details see the attach.
For details see the attached file.
For further details see the attach.
For more information see the attached file.
Further details can be obtained from attached file.
Pay attention on attached file.
Please, read the attach for further details.
El componente [4] puede ser una de las siguientes frases
(solo se incluye si el adjunto es un .ZIP con contraseña):
Attached file protected with the password for
security reasons. Password is [contraseña].
For security purposes the attached file is
password protected. Password is "[contraseña]".
For security reasons attached file is password
protected. The password is "[contraseña]".
In order to read the attach you have to use the
following password: [contraseña].
Donde [contraseña] es un número de cinco dígitos, siempre
diferente, creada por una rutina del gusano.
El componente [5] puede ser uno de los siguientes:
Best wishes,
Cheers,
Have a good day,
Kind regards,
Sincerely,
The Management,
Y el componente [6] es siempre la siguiente línea:
The [dominio] team http://www.[dominio]
Donde [dominio] es también el mismo del remitente.
Datos adjuntos: [uno de los siguientes]
attach
document
info
information
message
moreinfo
readme
textdocument
textfile
Los adjuntos pueden tener las siguientes extensiones:
.exe
.pif
.zip
Los archivos .ZIP, como vimos, poseen contraseña (la que se
muestra en el mensaje). El nombre del archivo contenido
dentro del ZIP es generado al azar, con 5 a 9 caracteres
seleccionados de la letra "a" a la "y", y con extensión .EXE.
Ejemplos:
hsafgbdvf.exe
darwe.exe
ttqdhga.exe
El ejecutable muestra el icono de los documentos de WordPad.
[ver imagen: http://www.vsantivirus.com/bagle-j.htm]
Mientras tanto, examina si la fecha actual es 25 de abril de
2005 o superior. Si lo es, finaliza su acción. En caso
contrario, crea los siguiente archivos en la carpeta System
de Windows:
c:\windows\system\irun4.exe
c:\windows\system\irun4.exeopen
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Crea la siguiente entrada en el registro, para autoejecutarse
en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ssate.exe = c:\windows\system\irun4.exe
Crea también la siguiente entrada para almacenar valores de
su configuración actual:
HKCU\Software\DateTime
Las direcciones que utiliza para propagarse, son obtenidas de
archivos de la máquina infectada con las siguientes
extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.eml
.htm
.mdx
.mmf
.msg
.nch
.ods
.php
.pl
.sht
.tbb
.txt
.uin
.wab
.xml
Ignora direcciones de correo que contengan las siguientes
cadenas:
@avp.
@hotmail.com
@microsoft
@msn.com
local
noreply
postmaster@
root@
El gusano también se copia en todas las carpetas cuyo nombre
contenga la cadena "SHAR", lo que incluye a la mayoría de las
carpetas compartidas de programas de intercambio de archivos
entre usuarios. De ese modo puede propagarse por las redes
P2P, y para ello utiliza los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
También intenta acceder a varios sitios de Internet, para
notificar al autor vía HTTP, con una solicitud GET, cada
determinada cantidad de tiempo, conectándose con un script
PHP. El paquete enviado a las siguientes direcciones,
contiene el número de puerto actual y una identificación:
http:/ /postertog.de/scr.php
http:/ /www.gfotxt.net/scr.php
http:/ /www.maiklibis.de/scr.php
Posee algunas características de troyano de acceso remoto y
para ello abre el puerto TCP/2745, quedando a la espera de
comandos. Esta opción sería usada para actualizar al propio
gusano. Cuando ello sucede, se descarga la nueva versión que
luego se ejecuta para suplantar la anterior. Utiliza el
parámetro -UPD para ello.
El gusano no se ejecuta después del 25 de abril de 2005. Si
un archivo del gusano es ejecutado después de esa fecha, se
auto invoca con el parámetro -DEL para desinstalarse del
sistema.
También intenta finalizar los siguientes procesos:
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avltmain.exe
avpupd.exe
avwupd32.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
outpost.exe
update.exe
El gusano contiene el siguiente texto oculto en su código:
Hey, NetSky, fuck off you bitch, don't ruine
our bussiness, wanna start a war?
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\irun4.exe
c:\windows\system\irun4.exeopen
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
ssate.exe
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\DateTime
5. Pinche en la carpeta "DateTime" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Bagle.I. Utiliza adjuntos ZIP con contraseñas
_____________________________________________________________
http://www.vsantivirus.com/bagle-i.htm
Nombre: W32/Bagle.I
Tipo: Gusano de Internet
Alias: Bagle.I, I-Worm.Bagle.g, I-Worm.Bagle.i,
W32.Beagle.A@mm, W32.Beagle.I@mm, W32/Bagle.dll,
W32/Bagle.gen@MM, W32/Bagle.I.worm, W32/Bagle.i@MM,
W32/Bagle-I, Win32.Bagle, Win32.Bagle.H, Win32.Bagle.I,
Win32/Bagle.I, Win32/Bagle.I.Worm, Win32/Bagle.Variant.Worm,
WORM_BAGLE.I
Plataforma: Windows 32-bit
Tamaño: 21,254 bytes (PEX)
Puertos: TCP/2745
Fecha: 2/mar/04
Detectado el 2 de marzo de 2004, es otra variante del
Bagle.F.
Los adjuntos poseen extensiones .EXE, .SCR o .ZIP, en éste
último caso con contraseñas generadas al azar, la cuál se
muestra al usuario en el propio texto del mensaje. Esto
pretende eludir la detección de los antivirus (deben saber la
contraseña para revisar estos archivos).
Cuando se ejecuta, se inyecta dentro del proceso de un
componente de Windows que siempre está en memoria
(EXPLORER.EXE), quedando de ese modo residente.
Además de propagarse a través del correo electrónico, lo hace
por redes P2P, copiándose en carpetas utilizadas por varios
de esos programas para compartir archivos con otros usuarios.
El ejecutable muestra el icono de una carpeta de Windows.
El gusano puede enviarse a todas las direcciones de correo
obtenidas de diferentes archivos de la máquina infectada. En
todos los casos el remitente que figura en el mensaje es
falso.
Posee además un componente de acceso por puerta trasera
(backdoor), y además finaliza la ejecución de varios
antivirus y cortafuegos.
El mensaje que utiliza para su propagación es el siguiente:
De: [Dirección falsa]
Asunto: [uno de los siguientes]
:-)
:P
ello! =))
Hey, dude, it's me
Hey, ya! =))
Hi! :-)
Hokki =)
meay-meay!
meay-meay!
mew-mew (-:
Weah, hello! :-)
Weeeeee! ;)))
Texto: [uno de los siguientes]
:P
Argh, i don't like the plaintext :)
Hey, dude, it's me
I don't bite, weah!
Looking forward for a response :P
Cuando el adjunto es .ZIP, agrega lo siguiente:
...btw, "[contraseña] " is a password for archive
[contraseña] -- archive password
archive password: [contraseña]
pass: [contraseña]
password -- [contraseña]
password for archive: [contraseña]
password: [contraseña]
Donde [contraseña] es un número de cinco dígitos, siempre
diferente, creada por una rutina del gusano.
Ejemplos de textos:
Hey, dude, it's me
I don't bite, weah!
...btw, "43587" is a password for archive
Looking forward for a response :P
pass: 19823
Argh, i don't like the plaintext :)
Datos adjuntos: [uno de los siguientes]
attach
attacheddocument
attachedfile
document
info
message
moreinfo
msg
msginfo
readme
text
textdocument
textdocument
textfileletter
Los adjuntos pueden tener las siguientes extensiones:
.exe
.zip
.scr
Los archivos .ZIP, como vimos, poseen contraseña (la que se
muestra en el mensaje). El nombre del archivo contenido
dentro del ZIP es generado al azar, con 5 a 9 caracteres
seleccionados de la letra "a" a la "y", y con extensiones
.EXE o .SCR. Ejemplos:
sdhfkjweu.scr
asdhab.exe
El ejecutable muestra el icono de una carpeta de Windows.
[ver imagen: http://www.vsantivirus.com/bagle-i.htm]
Mientras tanto, examina si la fecha actual es 25 de marzo de
2005 o superior. Si lo es, finaliza su acción. En caso
contrario, crea los siguiente archivos en la carpeta System
de Windows:
c:\windows\system\i11r54n4.exe
c:\windows\system\go154o.exe
c:\windows\system\i1i5n1j4.exe
c:\windows\system\i11r54n4.exeopen
º I11R54N4.EXE (21,212 bytes) es la copia del gusano
º GO154O.EXE (19,968 bytes), componente DLL principal del
gusano
º I1I5N1J4.EXE (1,536 bytes), componente DLL usado por el
gusano
º I11R54N4.EXEOPEN (21,348 bytes), copia enviada como adjunto
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Crea la siguiente entrada en el registro, para autoejecutarse
en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
rate.exe = c:\windows\system\i11r54n4.exe
Crea también la siguiente entrada para almacenar valores de
su configuración actual:
HKCU\Software\Windor
El gusano inyecta un pequeño DLL (i1i5n1j4.exe) dentro del
proceso EXPLORER.EXE de Windows. Este DLL carga el DLL
principal (go154o.exe). De esta forma permanece residente en
memoria, y no muestra ningún proceso activo, ya que su
función la realiza el EXPLORER.EXE.
Las direcciones que utiliza para propagarse, son obtenidas de
archivos de la máquina infectada con las siguientes
extensiones:
.adb
.asp
.cfg
.dbx
.eml
.htm
.mdx
.mmf
.nch
.ods
.php
.pl
.sht
.tbb
.txt
.wab
.xml
Ignora direcciones de correo que contengan las siguientes
cadenas:
@avp.
@hotmail.com
@microsoft
@msn.com
local
noreply
postmaster@
root@
El gusano también se copia en todas las carpetas cuyo nombre
contenga la cadena "SHAR", lo que incluye a la mayoría de las
carpetas compartidas de programas de intercambio de archivos
entre usuarios. De ese modo puede propagarse por las redes
P2P, y para ello utiliza los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
También intenta acceder a varios sitios de Internet, para
notificar al autor vía HTTP, con una solicitud GET, cada
determinada cantidad de tiempo, conectándose con un script
PHP. El paquete enviado a las siguientes direcciones,
contiene el número de puerto actual y una identificación:
http:/ /postertog.de/scr.php
http:/ /www.gfotxt.net/scr.php
http:/ /www.maiklibis.de/scr.php
Posee algunas características de troyano de acceso remoto y
para ello abre el puerto TCP/2745, quedando a la espera de
comandos. Esta opción sería usada para actualizar al propio
gusano. Cuando ello sucede, se descarga la nueva versión que
luego se ejecuta para suplantar la anterior. Utiliza el
parámetro -UPD para ello.
El gusano no se ejecuta después del 25 de marzo de 2005. Si
un archivo del gusano es ejecutado después de esa fecha, se
auto invoca con el parámetro -DEL para desinstalarse del
sistema.
También intenta finalizar los siguientes procesos:
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avltmain.exe
avpupd.exe
avwupd32.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
outpost.exe
update.exe
El gusano crea el mutex "imain_mutex" para no ejecutarse más
de una vez al mismo tiempo.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\i11r54n4.exe
c:\windows\system\go154o.exe
c:\windows\system\i1i5n1j4.exe
c:\windows\system\i11r54n4.exeopen
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
rate.exe
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Windor
5. Pinche en la carpeta "Windor" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Hiton.A. Se propaga por e-mail y redes P2P
_____________________________________________________________
http://www.vsantivirus.com/hiton-a.htm
Nombre: W32/Hiton.A
Tipo: Gusano de Internet
Alias: Hiton, W32.Hiton@mm, W32/Hiton.a@MM, WORM_HITON.A,
Win32/Hiton.A
Fecha: 2/mar/04
Plataforma: Windows 32-bit
Tamaño: 44,036 bytes (.EXE), 44,036 bytes (.DLL)
Detectado el 2 de marzo de 2004, este gusano se propaga a
través del correo electrónico y redes de intercambio de
archivos P2P.
Los mensajes tienen estas características:
Asunto: [uno de los siguientes]
Another one?
Attatchments
Ciao TONA
Darling
Do not release, its the internal rls!
elegant ppl should satisfy thier taste with elegant things ;)
Error
gift for you TONA :)
Happy Times :)
hello
hello TONA
Hey I thought you trusted me but ...
Hey Wussap?
hey wuts up TONA?
hey wuts up?
heyyy
heyyy TONA
Heyyyyyyyy Lola Wussaaap??
hi TONA
Hiiiiiii
Hiiiiiii TONA
hola TONA
information
information for you, TONA
La Transaction De Courrier A
La Transazione Della Posta
Leaked
Mail Delivery System
Mail Transaction Failed
New Internal Rls...
Pr0n!
read it immediately
Returned mail -
s a nice Picture
s the archive you requested
s the document
s the document you requested
Server Report
something for you
Status
Stolen
TONA, you have to see this!
Undeliverable mail -
Unknown
Useful
venuto a mancare
Very funny
Wait for more :)
warning
Texto del mensaje: [uno de los siguientes]
heyyyy i tried many times to send u this email
but ur account was out of storage as i
Heyyyy TONAI lost the other email , anyway i
sent u all u needONCRi have just got it , plz
Hi TONA its FRNA.ONCRONCRI was shocked, when
I found out that it wasn't you but your twin
brother,ONCRthat's amazing, you're as like as
two peas. No one in bed is better thanONCRyou
TONA. I remember, I remember everything very
well, that promised youONCRto tell how it was,
I'll give you a call today after 9. He took my
skirtONCRoff, then my panties, then my bra, he
sucked my t**s, with the same furyONCRyou do
it. He was writing alphabet on my pussy for 20
minutes, thenONCRsuddenly stopped, put me in
doggy style position and stuck his
dagger.ONCRBut TONA, why didn't you warn me
that his dick is 15 inches long? I
wasONCRstruck, we fucked whole night. I'm so
thankful to you, for acquainted meONCRto your
brother. I think we can do it on the next
Saturday all threeONCRtogether? What do you
think? O yes, as you wanted I've made a few
picturesONCRcheck them out in archive, I hope
they will
i just wanted to say sorry for last
nightONCRand .. i wish u accept this as an
i lost FRNA's Email plzz send this file to her
:)ONCRand tell her i can't be online
i thing the subject is enough to describe the
attached file !ONCRcheck it out and replay your
i'm fine , thanx for asking :) ONCRand thanx
for the nice attachements.ONCRbut
i've got this surprise from a friend :)ONCRit
really deserves a few minutes of your
I've got your email , but you forgot to upload
the attachments.ONCRDon't be selfish , i sent
sendmail daemon reported: Error #804 occured
during SMTP session.ONCRPartial
The message cannot be represented in 7-bit
ASCII encodingONCRand has been sent as a
The message contains MIME-encoded
graphicsONCRand has been sent as a binary
YO TONA , IM SICK OF UR EMAILS , IF U LOSE IT
AGAIN I WONT GIVE IT TO U, SAVE
you seem to be mad @ me coz i didn't send u
anything for along time,ONCRi didn't forget u ,
but i was kinda busy , i've got all of ur
emailsONCRthanx :) and i hope u accept this one
as an
your name is wrong
Datos adjuntos: [diferentes nombres]+[extensión]
Donde [extensión] puede ser cualquiera de las siguientes:
.bat
.exe
.pif
.scr
.zip
Cuando se ejecuta, el gusano se copia en las siguientes
ubicaciones:
c:\windows\svchost.exe
c:\windows\system\mssvc.dll
NOTA: En todos los casos, "c:\windows" y "c:\windows\system"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system32",
etc.).
Crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Service Host Driver = c:\windows\svchost.exe
HKCU\Software\Microsoft\Command Processor
AutoRun = c:\windows\svchost.exe
También modifica la siguiente entrada en el registro:
HKCR\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
(Predeterminada) = c:\windows\system\mssvc.dll
El gusano crea además, un archivo de texto, que guarda con el
nombre WSICK32.DLL, en la carpeta System o System32 de
Windows. Este archivo sirve para almacenar los mensajes de
correo electrónico.
Para propagarse por correo electrónico, utiliza su propio
motor SMTP, por lo que no depende del cliente de correo
instalado. Los mensajes son enviados a direcciones obtenidas
en diferentes archivos de la computadora infectada.
* Reparación manual
* Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir
archivos del o los programas P2P instalados en su
computadora, o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\svchost.exe
c:\windows\system\mssvc.dll
IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\SVCHOST.EXE, ya que
es un archivo legítimo de Windows.
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Service Host Driver
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Command Processor
5. Pinche en la carpeta "Command Processor" y en el panel de
la derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
AutoRun
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
7. Pinche en la carpeta "InProcServer32" y cambie lo
siguiente:
(Predeterminada) = c:\windows\system\mssvc.dll
Por lo siguiente:
En Windows 95, 98 y Me:
(Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL
En Windows NT, 2000 y XP:
(Predeterminado) = %SystemRoot%\System32\webcheck.dll
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1335 Año 8, miércoles 3 de marzo de 2004
|
Responder a este mensaje
