VSantivirus No. 730 - Año 6 - Domingo 7 de julio de 2002
W32/Argen.A (Kitro.D). Otra versión del Bandera
http://www.vsantivirus.com/argen-a.htm
Nombre: W32/Argen.A
Tipo: Gusano de Internet
Alias: ARGEN.A, WORM_ARGEN.A, VBS_ARGEN.A, W32/Bandera.C@MM, W32/Bandera.C,
W32.Kitro.D.Worm, W32.Banegra.int, W32.Kitro.D.int
Fecha: 5/jul/02
Plataforma: Windows 32-bits
Fuente: Trend
Este destructivo gusano, programado en Delphi y comprimido con la utilidad UPX (de la misma serie del
W32/Duni y
W32/Bandera), se vale de un script de Visual Basic para enviarse a si mismo a todos los contactos de la libreta de direcciones de Microsoft Outlook.
Una vez ejecutado, permanece residente en memoria, y puede borrar todos los archivos que no están ocultos en el directorio raíz de la unidad
C, además de crear numerosas copias de si mismo.
Primero crea el archivo BanderaNegra.VBS en el raíz de C:\. Este script es el encargado del envío masivo del gusano a través de mensajes infectados.
También crea las siguientes copias del propio gusano:
C:\AUTOEXEC.BAK .EXE
C:\MSDOS.TIL .EXE
C:\ .EXE
C:\HackTools.EXE
C:\COMMAND.COM .EXE
C:\MSDOS.SYS .EXE
C:\CONFIG.SYS .EXE
C:\AUTOEXEC.BAT .EXE
C:\IO.SYS .EXE
C:\CONFIG.JPS .EXE
C:\CONFIG.BAK .EXE
C:\SCANDISK.LOG .EXE
C:\MSDOS.NAM .EXE
C:\COMPATID.TXT .EXE
C:\AVP40CRACK.EXE
C:\ResidentEvil-Crack.EXE
C:\AVP-SpanishPatch.EXE
C:\PandaAllCracks.EXE
C:\SexoenlaCalle-Video.EX
C:\Sexo-Asiatico-FullVideo.EXE
C:\MessengerSkins29.EXE
C:\MP3EncoderDecoder58.EXE
C:\GameCube-FreeEmulator.EXE
C:\PSX2-Emulator.EXE
C:\X-Box_Emulator.EXE
C:\PSXEmulator_Full.EXE
C:\CounterStrikeMoreServers.EXE
C:\Jedi2-FullCrack.EXE
C:\W98ToXpActualization.EXE
C:\GamesPSX2Emulator.EXE
C:\CopyPSXgamesV12.EXE
%Windows%\XP-Serials.EXE
%Windows%\PostalDeAmistad.PIF
%Windows%\Cristo_Nos_Enseña.Doc.PIF
%Windows%\Listado.txt.by.Microsoft.COM
%Windows%\List.txt.by.Microsoft.COM
%Windows%\Facturas556.XLS.PIF
%Windows%\EnLosAndes.PIF
%Windows%\YaNoPuedoSerYoMismo.DOC.PIF
%Windows%\ReparacionDeMessenger.DOC.PIF
%Windows%\TestDeAmoryAmistad.DOC.PIF
%Windows%\APPLOG\BITES.LGC
%Windows%\Recent\1.EXE.LNK
%Windows%\Recent\_VIRUS (2).LNK
La variable %Windows% representa el directorio de Windows, y de acuerdo a la versión del sistema instalada puede variar
(C:\Windows, C:\WinNT, etc.).
También crea o modifica las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KAZAACuF = "9"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PAV.EXE = "%Number%"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Zonavirus = "0"
HKLM\SOFTWARE\KasperskyLab\SharedFiles
Folder = "%Number%"
La variable %Number% representa un número seleccionado al azar.
También crea las siguientes entradas, con las que puede ejecutarse nuevamente en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KAZAAkCuF =
[número]
PAV.EXE = [número]
Zonavirus = [número]
BNexe = [Nombre de cualquiera de las copias del gusano]
BN = c:\BanderaNegra.vbs
El componente VBS del gusano, al ser ejecutado, examina la existencia de la siguiente entrada:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
OFF = "0"
Si existe con un valor diferente a '0'
(cero), procede a enviarse en forma masiva a todas las direcciones de la libreta del Outlook. Cómo esta entrada no existe comúnmente (es creada por el propio virus después de autoenviarse), la rutina de propagación está muy restringida.
Cuando se envía, el mensaje tomará algunas de las siguientes opciones:
Asunto: Te han enviado una postal.
Texto: Postales NetWork (c)1999-2002.
Datos adjuntos: PostalDeAmistad.pif
Asunto: Leelo y reenvialo a quienes aprecias.
Texto: Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sue o se hara realidad.
Datos adjuntos: Cristo_Nos_Ense±a.doc.pif
Asunto: Listado de falsas alarmas.
Texto: Te envio la lista de falsas alarmas, para que no hagas caso a las mentiras, chao que estes bien.
Datos adjuntos: Listado.txt.by.Microsoft.com
Asunto: This is a last hoax list.
Texto: I send the list of false alarms, so that you do not make case to the lies bye.
Datos adjuntos: List.txt.by.Microsoft.com
Asunto: Para los amigos
Texto: Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos.
Datos adjuntos: Facturas556.XLS.pif
Asunto: Fw: Enviame tu foto.
Texto: bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje.
Datos adjuntos: EnLosAndes.pif
Asunto: Es posible que nos roben la identidad.
Texto: lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso.
Datos adjuntos: YaNoPuedoSerYoMismo.DOC.pif
Asunto: Messenger vulnerable
Texto: si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible.
Datos adjuntos: ReparacionDeMessenger.DOC.pif
Asunto: 77:Test de amor.
Texto: Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones.
Datos adjuntos: TestDeAmoryAmistad.DOC.pif
Después del envío masivo, el script finalmente crea la siguiente entrada, según se comentó antes:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
OFF = "0"
También se crea un archivo .DAT donde se visualizan los siguientes
comentarios:
Componente para Facilitar La programacion de Gusanos. Componente V1.01c BanderaNegra, Por ErGrone/Zonavirus VIVA SUDAMERICA!!!
Http://www.geocities.com/[omitido]
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes
entradas (no todas pueden estar presentes):
KAZAAkCuF
PAV.EXE
Zonavirus
BNexe
BN
OFF
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\KasperskyLab
\SharedFiles
5. Pinche en la carpeta "SharedFiles" y en el panel de la derecha haga doble clic sobre la entrada
"Folders" y modifique su contenido por el mismo que aparece en las entradas
"VEDataFilePath" y "VEIndexFilePath", que generalmente es lo siguiente:
C:\Archivos de programa\Archivos comunes\AVP Shared
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
8. Actualice sus antivirus o reinstálelos (el virus intenta eliminar algunos archivos pertenecientes a conocidos antivirus, como PER, Kaspersky y VirusScan, aunque no lo logra en todos los casos).
9. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
10. Borre los archivos detectados como infectados por el virus
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Modificaciones:
Alias: W32.Kitro.D.Worm, W32.Banegra.int, W32.Kitro.D.int
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
