Mostrando mensaje 508     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1459 Año 8, domingo 4 de julio de 2004 Fecha: Domingo, 4 de Julio, 2004  22:44:20 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1459 Año 8, domingo 4 de julio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - W32/Bagle.AD. Se propaga por e-mail y P2P 2 - W32/Evaman.A. Roba direcciones de Yahoo 3 - W32/Sachiel.G. Impide la ejecución de antivirus _____________________________________________________________ 1 - W32/Bagle.AD. Se propaga por e-mail y P2P _____________________________________________________________ http://www.vsantivirus.com/bagle-ad.htm Nombre: W32/Bagle.AD Tipo: Gusano de Internet Alias: Bagle.AD, I-Worm.Bagle.ad, I-Worm/Bagle.AD, Win32/Bagle.AA.drp, W32.Beagle.AD@mm, W32/Bagle.ad@MM, W32/Bagle.AD.worm. Fecha: 4/jul/04 Plataforma: Windows 32-bit Tamaño: 60,928 bytes (agrega basura para aumentar su tamaño) Puertos: TCP/1234 Variante del Bagle detectada el 4 de julio de 2004, escrito en Visual C. Los adjuntos poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus. Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.) Utiliza varios mutex para prevenir que el gusano W32/Netsky y sus variantes, puedan ejecutarse. El gusano agrega su propio código fuente en assembler, encriptado en su interior. Esto puede facilitar la aparición de nuevas variantes. Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso. Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos. Cuando se ejecuta por primera vez, muestra un mensaje de error falso: Error! Can't find a viewer associated with the file [ Aceptar ] Los mensajes que utiliza para su propagación tienen las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] - Changes.. - Encrypted document - Fax Message Received - Forum notify - Hidden message - Incoming message - New changes - Notification - Protected message - Re: Document - Re: Hello - Re: Hi - Re: Incoming Message - RE: Incoming Msg - RE: Message Notify - Re: Msg reply - RE: Protected message - RE: Text message - Re: Thank you! - Re: Thanks :) - Re: Yahoo! - Site changes Datos adjuntos: [uno de los siguientes] Information Details text_document Updates Readme Document Info Details MoreInfo Message Dicho nombre, puede tener alguna de las siguientes extensiones: .com .cpl .exe .hta .scr .vbs .zip [con contraseña] Si el adjunto es un ZIP, está encriptado con una contraseña. En esos casos, el texto del mensaje puede ser alguno de los siguientes: - For security reasons attached file is password protected. The password is [contraseña] - For security purposes the attached file is password protected. Password -- [contraseña] - Note: Use password [contraseña] to open archive. - Attached file is protected with the password for security reasons. Password is [contraseña] - In order to read the attach you have to use the following password: [contraseña] - Archive password: [contraseña] - Password - [contraseña] - Password: [contraseña] Donde [contraseña] es una imagen JPEG insertada, o un texto que muestra un número de cinco dígitos. Si el adjunto no es un .ZIP, el texto del mensaje puede ser uno de los siguientes: - Attach tells everything. - Attached file tells everything. - Check attached file for details. - Check attached file. - Here is the file. - Message is in attach - More info is in attach - Pay attention at the attach. - Please, have a look at the attached file. - Please, read the document. - Read the attach - See attach. - See the attached file for details. - Your document is attached. - Your file is attached.. El gusano cambia el tipo de archivo del adjunto, de acuerdo a la extensión. Por ejemplo, si el archivo tiene extensión .VBS, el adjunto es creado como un script de Visual Basic que genera al gusano, un archivo ejecutable de Win32. Por ello, existen tres formatos para el "dropper" del gusano, Visual Basic Script, HTML, y aplicación del Panel de control (.CPL). En el caso de un adjunto .ZIP, el archivo contenido dentro del mismo, posee un nombre generado al azar de 5 a 9 caracteres y extensión .EXE. El archivo .ZIP puede también contener un archivo adicional (generalmente un archivo limpio, sin infección), con datos al azar, y un nombre también al azar, generalmente con la extensión .BAT, .DLL, .DOC, .TXT o .VXD. Cuando se ejecuta, el gusano examina si la fecha actual es 25 de enero de 2005 o superior. Si lo es, finaliza su acción. En caso contrario, crea los siguiente archivos en la carpeta System de Windows: c:\windows\system\loader_name.exe c:\windows\system\loader_name.exeopen c:\windows\system\loader_name.exeopenopen NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run reg_key = c:\windows\system\loader_name.exe Crea también la siguiente entrada para almacenar valores de su configuración actual: HKCU\Software\DateTime Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml Ignora direcciones de correo que contengan las siguientes cadenas: @avp. @foo @hotmail @iana @messagelab @microsoft @msn abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster rating@ root@ samples sopho spam support unix update winrar winzip El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres: acdsee 9.exe,0 adobe photoshop 9 full.exe ahead nero 7.exe kaspersky antivirus 5.0 kav 5.0 matrix 3 revolution english subtitles.exe microsoft office 2003 crack, working!.exe microsoft office xp working crack, keygen.exe microsoft windows xp, winxp crack, working keygen.exe opera 8 new!.exe porno pics arhive, xxx.exe porno screensaver.scr porno, sex, oral, anal cool, awesome!!.exe serials.txt.exe winamp 5 pro keygen crack update.exe winamp 6 new!.exe windown longhorn beta leak.exe windows sourcecode update.doc.exe xxx hardcore images.exe También intenta acceder a numerosos sitios de Internet, para notificar su presencia vía HTTP, con una solicitud GET, cada determinada cantidad de tiempo, conectándose con un script PHP. Posee algunas características de troyano de acceso remoto y para ello abre el puerto TCP/1234, quedando a la espera de comandos. Esta opción puede ser usada para actualizar al propio gusano. Cuando ello sucede, se descarga la nueva versión que luego se ejecuta para suplantar la anterior. El gusano no se ejecuta después del 25 de enero de 2005. Si es ejecutado después de esa fecha, se auto invoca con el parámetro -DEL para desinstalarse del sistema. Mientras se está ejecutando, intenta finalizar los siguientes procesos: agentsvr.exe anti-trojan.exe antivirus.exe ants.exe apimonitor.exe aplica32.exe apvxdwin.exe atcon.exe atguard.exe atro55en.exe atupdater.exe atwatch.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avgserv9.exe avltmain.exe avprotect9x.exe avpupd.exe avsynmgr.exe avwupd32.exe avxquar.exe bd_professional.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe blackd.exe blackice.exe bootwarn.exe borg2.exe bs120.exe cdp.exe cfgwiz.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe clean.exe cleaner.exe cleaner3.exe cleanpc.exe cmgrdian.exe cmon016.exe cpd.exe cpf9x206.exe cpfnt206.exe cv.exe cwnb181.exe cwntdwmo.exe defwatch.exe deputy.exe dpf.exe dpfsetup.exe drwatson.exe drwebupw.exe ent.exe escanh95.exe escanhnt.exe escanv95.exe exantivirus-cnet.exe fast.exe firewall.exe flowprotector.exe fp-win_trial.exe frw.exe fsav.exe fsav530stbyb.exe fsav530wtbyb.exe fsav95.exe gbmenu.exe gbpoll.exe guard.exe guarddog.exe hacktracersetup.exe htlog.exe hwpe.exe iamapp.exe iamserv.exe icload95.exe icloadnt.exe icmon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe ifw2000.exe iparmor.exe iris.exe jammer.exe kavlite40eng.exe kavpers40eng.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe killprocesssetup161.exe ldpro.exe localnet.exe lockdown.exe lockdown2000.exe lsetup.exe luall.exe lucomserver.exe luinit.exe mcagent.exe mcupdate.exe mfw2en.exe mfweng3.02d30.exe mgui.exe minilog.exe moolive.exe mrflux.exe msconfig.exe msinfo32.exe mssmmc32.exe mu0311ad.exe nav80try.exe navapw32.exe navdx.exe navstub.exe navw32.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe netarmor.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netstat.exe nisserv.exe nisum.exe nmain.exe norton_internet_secu_3.0_407.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe nsched32.exe ntvdm.exe nupgrade.exe nvarch16.exe nwinst4.exe nwtool16.exe ostronet.exe outpost.exe outpostinstall.exe outpostproinstall.exe padmin.exe panixk.exe pavproxy.exe pcc2002s902.exe pcc2k_76_1436.exe pcciomon.exe pcdsetup.exe pcfwallicon.exe pcip10117_0.exe pdsetup.exe periscope.exe persfw.exe pf2.exe pfwadmin.exe pingscan.exe platin.exe poproxy.exe popscan.exe portdetective.exe ppinupdt.exe pptbc.exe ppvstop.exe procexplorerv1.0.exe proport.exe protectx.exe pspf.exe purge.exe pview95.exe qconsole.exe qserver.exe rav8win32eng.exe regedit.exe regedt32.exe rescue.exe rescue32.exe rrguard.exe rshell.exe rtvscn95.exe rulaunch.exe safeweb.exe sbserv.exe sd.exe setup_flowprotector_us.exe setupvameeval.exe sfc.exe sgssfw32.exe sh.exe shellspyinstall.exe shn.exe smc.exe sofi.exe spf.exe sphinx.exe spyxx.exe ss3edit.exe st2.exe supftrl.exe supporter5.exe symproxysvc.exe sysedit.exe taskmon.exe taumon.exe tauscan.exe tc.exe tca.exe tcm.exe tds2-98.exe tds2-nt.exe tds-3.exe tfak5.exe tgbob.exe titanin.exe titaninxp.exe tracert.exe trjscan.exe trjsetup.exe trojantrap3.exe undoboot.exe update.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vcsetup.exe vfsetup.exe virusmdpersonalfirewall.exe vnlan300.exe vnpc3000.exe vpc42.exe vpfw30s.exe vptray.exe vscenu6.02d30.exe vsecomr.exe vshwin32.exe vsisetup.exe vsmain.exe vsmon.exe vsstat.exe vswin9xe.exe vswinntse.exe vswinperse.exe w32dsm89.exe w9x.exe watchdog.exe webscanx.exe wgfe95.exe whoswatchingme.exe winrecon.exe wnt.exe wradmin.exe wrctrl.exe wsbgate.exe wyvernworksfirewall.exe xpf202en.exe zapro.exe zapsetup3001.exe zatutor.exe zauinst.exe zonalm2601.exe zonealarm.exe También intenta borrar las entradas en el registro creadas por versiones de otros gusanos, como Netsky. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\loader_name.exe c:\windows\system\loader_name.exeopen c:\windows\system\loader_name.exeopenopen Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: reg_key 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \DateTime 5. Pinche en la carpeta "DateTime" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Evaman.A. Roba direcciones de Yahoo _____________________________________________________________ http://www.vsantivirus.com/evaman-a.htm Nombre: W32/Evaman.A Tipo: Gusano de Internet Alias: Evaman, W32.Evaman@mm, Win32/Evaman.A Fecha: 3/jul/04 Plataforma: Windows 32-bit Tamaño: 14,848 bytes Gusano de envío masivo por correo electrónico, que se propaga por direcciones de correo obtenidas en el sitio "email.people.yahoo.com". Llega en un adjunto con extensión .EXE o .SCR, en mensajes como los siguientes: De: [dirección falsa] Asunto: [uno de los siguientes] Delivery Status (Failure) failed transaction failure delivery mail failure returned mail server error Texto del mensaje: [uno de los siguientes] Ejemplo 1: This is an automatically generated Delivery Status Notification. Delivery to last recipient failed. Email returned as attachment text file. Ejemplo 2: Message from Mail Delivery Server. Unable to deliver message to last recipient. Email returned as text file. Ejemplo 3: Email returned by the server as ASCII Text mail file. To read the email download the included attachment. Ejemplo 4: Mail Server Notice: Last email sent could not reach intented destination. Email returned as ASCII text file. Ejemplo 5: The last email sent by this account could not reach intended destination. Email has been returned as text file attachment. Ejemplo 6: Mail Delivery Status Notification: Message returned by server. Message returned as text file attachment. Datos adjuntos: [nombre]+[extensión] Donde [nombre] es una de las siguientes cadenas: body document email message returned text Y [extensión] es una de las siguientes: .html.scr .outlook.scrtxt.exe .scr .txt.scr Cuando se ejecuta por primera, abre el Bloc de notas (notepad.exe). Crea las siguientes entradas en el registro, la segunda para autoejecutarse en cada reinicio del sistema: HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\Wintasks HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wintasks.exe = c:\windows\system\wintasks.exe El ejecutable del gusano se copia en la carpeta del sistema de Windows: c:\windows\system\wintasks.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Para propagarse, selecciona un servidor SMTP de la siguiente lista: mail .mindspring .com mail .optonline .net mail .peoplepc .com mail .verio .net mailhost .att .net outgoing .verizon .net smtp .comcast .net smtp .email .msn .com smtp .netzero .net smtp .prodigy .net smtp .rcn .com smtp1 .attglobal .net smtpauth .earthlink .net smtpout .bellatlantic .net smtp-server .nc .rr .com Utiliza el primer servidor de la lista al que se pueda conectar satisfactoriamente. Si no lo logra, obtiene el servidor SMTP del usuario infectado desde la siguiente clave del registro: HKEY_CURRENT_USER\Software\Microsoft \Internet Account Manager\Accounts\SMTP Server Para obtener direcciones de correo, realiza consultas al azar al sitio "email.people.yahoo.com". Finalmente se envía a todas las direcciones obtenidas, utilizando una dirección falsa en el campo "De:". Los mensajes enviados poseen las características ya descriptas. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\wintasks.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: wintasks.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \explorer \Wintasks 5. Pinche en la carpeta "Wintasks" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Sachiel.G. Impide la ejecución de antivirus _____________________________________________________________ http://www.vsantivirus.com/sachiel-g.htm Nombre: W32/Sachiel.G Tipo: Gusano Alias: Sachiel.G, W32/Sachiel.G, W32/Sachiel.worm.g, I- Worm/Sachiel.g, Win32.Alchies.G, W32.Sachiel, W32/Alchies.G, Win32.Sachiel.G, WORM_SACHIEL.G, Worm.Win32.Sachiel.e, Win32/HLLW.Sachiel.F, Worm.Win32.Sachiel.f, Worm/Sachiel.G, W32/Sachiel.B Fecha: 2/jul/04 Plataforma: Windows 95, 98 y Me Tamaño: 40,448 Bytes (UPX) Escrito en Microsoft Visual Basic, este gusano se propaga únicamente a través de disquetes infectados. El usuario debe ejecutar uno de los archivos con los que se copia en ellos, para ser infectado. Crea diferentes nombres dependiendo de la fecha, e impide la edición del registro de Windows. Solo se ejecuta correctamente en Windows 95, 98 o Me. Si se ejecuta en Windows NT, 2000 o XP, se produce un error. Además, debe existir la librería MSVBVM60.DLL (Visual Basic 6.0 Runtime Library) en el sistema. Cuando se ejecuta por primera vez muestra en pantalla una ventana de error falsa con el siguiente mensaje: Error El archivo esta total o parcialmente dañado, imposible abrir el archivo [ Aceptar ] Después de infectar el sistema, muestra esta otra ventana con el texto: rund32 Esto Comienza Ahora, En este Instante [ Aceptar ] Luego se copia en el sistema con alguno de los siguientes nombres: c:\windows\83.97.99.104.105.101.108.dll c:\windows\autoexec.bat c:\windows\drivsystem.com c:\windows\help\sachiel.sys.bat c:\windows\hhelp.exe c:\windows\iexplore32.exe c:\windows\system\autoexec.bat c:\windows\system\helpdks.dll c:\windows\winrun.pif Modifica el archivo C:\WINDOWS\SYSTEM.INI: [boot] Shell = explorer.exe c:\windows\system\drivsystem.com Modifica el archivo C:\WINDOWS\WIN.INI: [windows] run = c:\windows\system\iexplore32.exe Modifica el archivo C:\AUTOEXEC.BAT: @win C:\Windows\System\Autoexec.bat NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run WHelp = C:\Windows\System\HHelp.exe HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run WHelp = C:\Windows\System\HHelp.exe Para prevenir el uso del editor del registro (REGEDIT), modifica las siguientes claves: HKCU\Software\Microsoft \Windows NT\CurrentVersion\Policies\System DisableRegistryTools=dword:00000001 HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\System DisableRegistryTools=dword:00000001 HKU\.Default\Software\Microsoft \Windows NT\CurrentVersion\Policies\System DisableRegistryTools=dword:00000001 HKU\.Default\Software\Microsoft \Windows\CurrentVersion\Policies\System DisableRegistryTools=dword:00000001 También crea esta entrada para su uso interno: HKLM\Software\GEDZAC LABS Crea una copia de si mismo utilizando alguno de los siguientes nombres: acdsee 5.5.scr age of empires 2 crack.scr ana kournikova sex video.scr animaciones.scr animated screen 7.0b.scr aol cracker.scr aol instant messenger.scr aol password cracker.scr aquanox2 crack.scr audiograbber 2.05.scr avp antivirus pro key crack.scr babefest 2003 screensaver 1.5.scr babylon 3.50b reg_crack.scr battlefield1942_bloodpatch.scr battlefield1942_keygen.scr britney spears sex video.scr buffy vampire slayer movie.scr business card designer plus 7.9.scr cable modem ultility pack.scr clone cd 5.0.0.3 (crack).scr clone cd 5.0.0.3.scr coffee cup free exe 7.0b.scr compras.scr cool edit pro v2.55.scr counter-strike.scr crack passwords mail.scr credit card numbers generator(incl visa,mastercard,...).scr cristina aguilera sex video.scr delphi.scr diablo 2 crack.scr diario.scr directdvd 5.0.scr directivas.scr directx buster (all versions).scr directx infotool.scr divx pro.scr divx video bundle 6.5.scr divx_pro.scr download accelerator plus 6.1.scr dvd copy plus v5.0.scr dvd region-free 2.3.scr edonkey2000-speed me up scotty.scr fifa2003 crack.scr final fantasy vii xp patch 1.5.scr flash mx crack (trial).scr flashget 1.5.scr freeram xp pro 1.9.scr game cube real emulator.scr getright 5.0a.scr global divx player 3.0.scr gothic2 licence.scr gta 3 crack.scr gta 3 serial.scr guitar chords library 5.5.scr hentai anime girls movie.scr hitman_2_no_cd_crack.scr hot babes xxx screen saver.scr hotgirls.scr hotmail hacker 2003-xss exploit.scr hotmail_hack.scr icq pro 2003a.scr icq pro 2003b (new beta).scr imesh 3.6.scr imesh 3.7b (beta).scr irfanview 4.5.scr jenifer lopez sex video.scr kazaa hack 2.5.0.scr kazaa sdk + xbit speedup for 2.xx.scr kazaa speedup 3.6.scr links 2003 golf game (crack).scr listfonos.scr living waterfalls 1.3.scr macromedia dreamweaver key generator.scr mafia_crack.scr manual.scr matrix movie.scr matrix screensaver 1.5.scr mcafee antivirus scan crack.scr mediaplayer update.scr microsoft keygenerator-allmost all microsoft stuff.scr mirc 6.40.scr mp3list.scr mp3trim pro 2.5.scr msn messenger 5.2.scr nba2003_crack.scr need 4 speed crack.scr nero burning rom crack.scr netbios nuker 2003.scr netfast 1.8.scr network cable e adsl speed 2.0.5.scr nhl 2003 crack.scr nimo codecpack (new) 8.0.scr norton anvirus key crack.scr paltalk 5.01b.scr pamela_anderson.scr panda antivirus titanium crack.scr patricia.scr play station emulator.scr popup defender 6.5.scr pop-up stopper 3.5.scr ps2 playstation simulator.scr quick time key crack.scr quicktime_pro_crack.scr sakura card captor movie.scr screen saver christina aguilera naked.scr screen saver christina aguilera.scr security-2003-update.scr serials 2003 v.8.0 full.scr serials2000.scr sex live simulator.scr sex passwords.scr smartftp 2.0.0.scr smartripper v2.7.scr space invaders 1978.scr spiderman movie.scr splinter_cell_crack.scr starcraft serial.scr start wars trilogy movies.scr steinberg_wavelab_5_crack.scr stripping mp3 dancer+crack.scr subseven.scr thalia sex video.scr trillian 0.85 (free).scr tweakall 3.8.scr unreal2_bloodpatch.scr unreal2_crack.scr ut2003_bloodpatch.scr ut2003_keygen.scr ut2003_no cd (crack).scr ut2003_patch.scr vb6.scr virtua girl - adriana.scr virtua girl - bailey short skirt.scr virtua girl (full).scr virtualsex.scr visual basic 6.0 msdn plugin.scr visual basic 6.scr warcraft 3 crack.scr warcraft 3 serials.scr warcraft_3_crack.scr winamp 3.8.scr winamp plugin pack.scr windowblinds 4.0.scr windows xp complete + serial.scr windows xp exploit.scr winfile.scr winoncd 4 pe_crack.scr winrar 3.xx password cracker.scr winzip 9.0b.scr winzip full version key generator.scr winzip keygenerator crack.scr winzipped visual c++ tutorial.scr xnuker 2003 2.93b.scr yahoo messenger 6.0.scr zelda classic 2.00.scr Finaliza todas las aplicaciones que se estén ejecutando, si sus nombres contiene alguna de las siguientes cadenas: _avp32.exe _avpcc.exe _avpm.exe ackwin32.exe advxdwin alertsvc.exe alogserv amon.exe amon9x anti-trojan.exe antivir apvxdwin.exe atcon atupdater atwatch autodown.exe autotrace avconsol.exe ave32.exe avgcc32 avgctrl.exe avgserv avgserv9 avkpop avkserv avkserv.exe avkservice avkwctl9 avnt.exe avp.exe avp32.exe avpcc.exe avpdos32.exe avpm.exe avpmon.exe avpnt.exe avptc32.exe avpupd.exe avrep32.exe avsched32.exe avsynmgr.exe avwin95.exe avwinnt avwupd32.exe avxmonitor9x avxmonitornt avxquar bitdefender blackd.exe blackice.exe bullguard ccapp.exe cfgwiz cfiadmin.exe cfiaudit.exe cfind.exe cfinet.exe cfinet32.exe claw95.exe claw95cf.exe claw95ct.exe cleaner.exe cleaner3.exe clrav.com cmgrdian connectionmonitor cpdclnt defalert defscangui defwatch doors dv95.exe dv95_o.exe dvp95.exe dvp95_0.exe ecengine.exe efinet32.exe efpeadm esafe.exe espwatch.exe etrustcipe expert f-agnt95.exe fameh32 fch32 fih32 findviru.exe firewall fnrb32 fprot.exe f-prot.exe fprot95.exe f-prot95.exe fp-win.exe frw.exe fsav32 fsgk32 fsm32 fsma32 fsmb32 f-stopw.exe gbmenu gbpoll generics guard iamapp.exe iamserv.exe iamstats ibmasn.exe ibmavsp.exe icload95.exe icloadnt.exe icmon.exe icmoon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe iface.exe iomon98.exe isrv95 jed.exe jedi.exe kpf.exe kpfw32.exe ldpromenu ldscan lockdown2000.exe lockdownadvanced.exe lookout.exe luall.exe lucomserver.exe luspt mcafee mcagent mcmnhdlr mctool mcupdate mcvsrte mcvsshld mghtml minilog monitor.exe moolive.exe mpfservice mpftray.exe msconfig.exe mwatch n32scan.exe n32scanw.exe navapsvc.exe navapw32.exe navengnavex15 navlu32.exe navnt.exe navrunr.exe navsched.exe navw.exe navw32.exe navwnt.exe ndd32 neowatchlog netutils nisserv.exe nisum.exe nmain.exe norman normist.exe norton notstart.exe npscheck npssvc nsched32.exe nspclean.exe ntrtscan ntvdm ntxconfig nupgrade.exe nvc95.exe nvsvc32 nwservice nwtool16 offguard.exe outpost.exe padmin.exe panda pav.exe pavcl.exe pavmail.exe pavproxy pavsched.exe pavw.exe pcciomon.exe pccmain.exe pccwin97 pccwin98.exe pcfwallicon.exe pcntmon pcscan per.exe perd.exe persfw.exe pertsk.exe perupd.exe pervac.exe pervacd.exe pop3trap poproxy portmonitor pqremove.com processmonitor procexp programauditor pview95 pview95.exe rapapp.exe rav7.exe rav7win.exe realmon regedit.exe regedt32.exe rescue.exe rtvscn95 rulaunch safeweb.exe sbserv scan32.exe scan95.exe scanpm.exe scrscan.exe security serv95.exe sfc.exe smc.exe sphinx.exe spyxx ss3edit sweep95.exe sweepnet swnetsup symproxysvc symtray taumon tbscan.exe tca.exe tds2-98.exe tds2-nt.exe tds-3 th.exe th32.exe th32upd.exe thav.exe thd.exe thd32.exe the hacker thmail.exe trojan vbcmserv vbcons vcontrol.exe vet32.exe vet95.exe vet98.exe vettray.exe vir-help virus vpc32 vptray vscan40.exe vsecomr.exe vshwin32.exe vsmain vsmon vsscan40.exe vsstat.exe watchdog webscan.exe webscanx.exe webtrap wfindv32.exe wgfe95 wimmun32 wradmin wrctrl zapro.exe zonealarm.exe El gusano se actualiza a si mismo, desde los siguientes sitios: http:\ \db .envy .nu\bupdate .bin http:\ \gb .envy .nu\bupdate .bin http:\ \jb .envy .nu\bupdate .bin * Reparación manual Para recobrar el uso de REGEDIT.EXE, descargue (por ejemplo en el escritorio de Windows) el archivo RESTAURAR.REG de nuestro sitio: http://www.videosoft.net.uy/restaurar.reg * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. 4. Reitere estos pasos en cada disquete previamente utilizado * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Haga doble clic sobre el archivo RESTAURAR.REG descargado anteriormente en su PC, y confirme las modificaciones a realizar. 2. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 4. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: WHelp 5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Run 6. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: WHelp 7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \GEDZAC LABS 8. Pinche en la carpeta "GEDZAC LABS" y bórrela. 9. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Modificar SYSTEM.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 2. Busque lo siguiente: [boot] Shell = explorer.exe c:\windows\system\drivsystem.com y déjelo así: [boot] Shell = explorer.exe 3. Grabe los cambios y salga del bloc de notas * Modificar WIN.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo. Por ejemplo: [Windows] run = c:\windows\system\iexplore32.exe Debe quedar como: [Windows] run = 3. Grabe los cambios y salga del bloc de notas. * Método para revisar AUTOEXEC.BAT * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre AUTOEXEC.BAT. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Pulse el botón Inicio y luego Ejecutar 2. Escriba lo siguiente y pulse en Aceptar. edit c:\autoexec.bat Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat 3. Borre la línea que contenga lo siguiente: @win C:\Windows\System\Autoexec.bat 4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1459 Año 8, domingo 4 de julio de 2004