• Herramientas para quitar el W32/Avril.B y C de un sistema infectado

Se trata de una variante del Avril y Avril.B, que se propaga en forma masiva a través
del correo electrónico, IRC, ICQ y KaZaa.

Esta variante se conecta al sitio web del autor (web.host.kz/), y descarga el troyano "BackOrifice". También intenta descargar otro archivo, no presente en el sitio.

Descarga el siguiente archivo: "BackOrifice" (detectado como "BO.Trojan Variant"), y lo copia en la siguiente ubicación:

C:\Windows\System\Bo2k.exe

Luego agrega esta entrada al registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SocketListner = C:\Windows\System\Bo2k.exe

Utiliza el Outlook y Outlook Express de Microsoft, para buscar en las carpetas "Elementos enviados" y "Bandeja de entrada", direcciones electrónicas a las que luego se envía.

También recoge direcciones de la propia libreta de direcciones de Windows (.WAB), y examinando documentos con las siguientes extensiones:

.DBX
.EML
.HTM
.HTML
.IDX
.MBX
.NCH
.SHTML
.TBB 

El asunto de los mensajes enviados, es seleccionado al azar de la siguiente lista: 

Fw: Avril Lavigne - CHART ATTACK! 
Fw: F. M. Dostoyevsky "Crime and Punishment" 
Fw: Redirection error notification 
Fwd: Re: Have U requested Avril Lavigne bio? 
Fwd: Re: Reply on account for Incorrect MIME-header 
Fwd: RFC-0245 Specification requested... 
Fwd: RFC-0841 Specification requested... 
Re: According to Purge's Statement 
Re: ACTR/ACCELS Transcriptions 
Re: Brigada Ocho Free membership 
Re: Ha perduto qualque cosa signora?
Re: IREX admits you to take in FSAU 2003 
Re: Junior Achievement 
Re: Reply on account for IFRAME-Security breach 
Re: Reply on account for IIS-Security Breach (TFTP) 
Re: Vote seniors masters - don't miss it! 

El archivo adjunto (el propio gusano), puede tomar uno de los siguientes nombres: 

[al azar].DOC
[al azar].TXT 
ADialer.exe 
ALavigne.exe 
AvrilLavigne.exe 
AvrilSmiles.exe 
BioData.exe 
CERT-Vuln-Info.exe 
Cogito_Ergo_Sum.exe 
Complicated.exe 
EntradoDePer.exe 
IAmWiThYoU.exe 
MSO-Patch-0035.exe 
MSO-Patch-0071.exe 
Phantom.exe 
Readme.exe 
Resume.exe 
SiamoDiTe.exe 
Singles.exe 
Sk8erBoi.exe 
Sophos.exe 
Transcripts.exe 
TrickerTape.exe 
Two-Up-Secretly.exe

Como texto, el mensaje puede traer uno de los siguientes:

Texto 1: 

Network Associates weekly report: Microsoft has
identified a security vulnerability in Microsoft
IIS 4.0 and 5.0 that is eliminated by a
previously-released patch. Customers who have
applied that patch are already protected against
the vulnerability and do not need to take additional
action. to apply the patch immediately. Microsoft
strongly urges all customers using IIS 4.0 and 5.0
who have not already done so Patch is also provided
to subscribed list of Microsoft Tech Support:
Patch: Date 

Texto 2:

Restricted area response team (RART) Attachment you
sent to %s is intended to overwrite start address at
0000:HH4F To prevent from the further buffer overflow
attacks apply the MSO-patch

Texto 3:

Avril fans subscription FanList admits you to take in
Avril Lavigne 2003 Billboard awards ceremony Vote for
I'm with you! Admission form attached below

Texto 4:

Chart attack active list: Vote fo4r I'm with you!
Vote fo4r Sk8er Boi!Vote fo4r Complicated!
AVRIL LAVIGNE - THE CHART ATTACK!

Texto 5:

AVRIL LAVIGNE - THE BEST Avril Lavigne's popularity
increases:> SO: First, Vote on TRL for I'm With U!
Next, Update your pics database! Chart attack active
list .>.> 

Texto 6:

Orginal Message:

El gusano utiliza su propia rutina SMTP para enviarse, de modo que no depende del cliente de correo instalado para hacerlo.

Utiliza la configuración de la cuenta SMTP por defecto del usuario infectado, dato que obtiene de la siguiente rama del registro:

HKCU\Software\Microsoft\Internet Account Manager
\Accounts\[Cuenta predeterminada]\SMTP Server

El gusano intenta enviarse a toda la lista de contactos del ICQ. El adjunto toma el mismo nombre de alguno de los usuarios presentes en dicha lista.

El gusano chequea cada 35 segundos la presencia de cualquier proceso en memoria cuyo nombre coincida con alguno de la siguiente lista (pertenecen a conocidos antivirus, cortafuegos, etc.), y lo elimina:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIND.EXE
CLAW95.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
ECENGINE.EXE
EFINET32.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
F-PROT.EXE
FPROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

También intentará terminar cualquier aplicación en memoria cuya ventana contenga alguno de los nombres de la siguiente lista:

anti
Anti
AVP
McAfee
Norton
virus
Virus

El gusano se copia a si mismo en las carpetas \Windows\System32 y \Windows\System, con nombres de 11 caracteres seleccionados al azar. Por ejemplo:

C:\Windows\System\A33AAAAgbab.EXE
C:\Windows\System32\c5edc58aEff.EXE 

También se agrega al registro, para autoejecutarse desde alguno de esos archivos, cada vez que Windows se reinicia:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Avril Lavigne - Muse" = "C:\Windows\System\c5edc58aEff.EXE"

Se crean copias del gusano en la carpeta de archivos temporales con los mismos nombres anteriores. Por ejemplo:

C:\Windows\TEMP\A33AAAAgbab.EXE
C:\Windows\TEMP\c5edc58aEff.EXE

También crea un archivo con el mismo nombre de uno de los adjuntos recibidos con el mensaje, y otro con el mismo nombre pero extensión .TFT, por ejemplo:

C:\Windows\TEMP\AvrilLavigne.exe
C:\Windows\TEMP\AvrilLavigne.TFT 

Luego crea cuatro copias de si mismo, con nombres al azar, dentro del directorio de la papelera de reciclaje, y agrega una línea apuntando a uno de ellos en el archivo AUTOEXEC.BAT, por ejemplo: 

@win \RECYCLED\FF177Fe6.exe

También es creado un archivo llamado "avril-ii.inf" en el directorio \Windows\TEMP, que solo contiene un mensaje del autor del gusano.

También se copia en la carpeta de archivos compartidos del KaZaa con alguno de los nombres usados en los adjuntos a los mensajes. La presencia del KaZaa y la ubicación de su carpeta compartida, la obtiene de la siguiente entrada:

HKEY_CURRENT_USER\Software\KaZaA\Transfer\DlDir0

El virus busca además la presencia de la librería ICQMAPI.DLL para determinar la ubicación del programa ICQ y de sus archivos, examinando la siguiente rama del registro:

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\
App Paths\ICQ.EXE\Path

Utiliza las funciones API del ICQ para enviarse a si mismo a toda la lista de contactos.

Crea además un archivo SCRIPT.INI en la carpeta del cliente de IRC, mIRC, con las instrucciones para propagarse a todos los usuarios que participen en el mismo canal de chat. Cuando se produce la conexión, el gusano obliga a la víctima a conectarse al canal "#avrillavigne".

Si la versión de Windows instalada es NT, 2000 o XP, el gusano se registra a si mismo como un servicio (disponible para todos los usuarios).

El gusano examina también si la computadora está conectada a una red. Si no lo está, intentará conectarse a Internet usando el acceso telefónico a redes (DUN), y el conectoide por defecto.

Para prevenir la infección, el propio gusano tiene implementado un "mutex", la presencia de la siguiente clave en el registro:

HKEY_LOCAL_MACHINE\Software\OvG
"Avril Lavigne" = "AVRIL_LAVIGNE_LET_GO"

Si usted crea dicha clave, puede prevenir infectarse. Por supuesto, no debe tomarse como una protección a prueba de todo, pero ayuda si se la complementa con la política de siempre, antivirus al día, no abrir adjuntos no solicitados, etc.

El gusano posee una rutina de robo de contraseñas, las cuáles obtiene del caché de passwords de Windows, y luego envía a la dirección del supuesto autor: "otto_psws@smtp.ru".

Si el gusano se ejecuta el día 7, 11 o 24 de cualquier mes, se activa una rutina que abre una ventana del navegador usado, con la siguiente dirección (página oficial de la cantante Avril Lavigne):

http://www.avril-lavigne.com

Luego, el texto "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg" es desplegado en forma continua en la pantalla del monitor, junto a un efecto gráfico de figuras geométricas de diversos colores que cubren toda la pantalla. Esto obligará la mayoría de las veces a apagar la computadora en caliente para retomar el control, con el consiguiente riesgo de perder la información no almacenada aún en el disco.

El gusano utiliza en algunos casos la etiqueta IFRAME para explotar la falla que permite que el adjunto se ejecute por el solo acto de leer o visualizar el mensaje (ms01-020 Iframe exploit).

En otras ocasiones, el texto del mensaje es HTML puro sin la etiqueta IFRAME (la infección ocurre solo al abrir el adjunto con un doble clic).


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Herramientas para quitar el W32/Avril.B y C de un sistema infectado

Panda
Descarge PQREMOVE de este enlace (1.2Mb) y ejecútelo en su sistema:
(*) Panda Quick Remove es Copyright (C) Panda Software 2003.

 Kaspersky Labs
Descargue y ejecute la utilidad CLRAV desde este enlace (143 Kb) y ejecútelo en su sistema:
(*) CLRAV es Copyright (C) Kaspersky Lab 2000-2003. All rights reserved.

Symantec
Descargue y ejecute la utilidad FixLirva.exe (166 Kb) desde este enlace y ejecútelo en su sistema:
(*) FixLirva es Copyright (C) Symantec 2003.


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

Avril Lavigne - Muse
SocketListner

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit  c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre todas las líneas que contengan la orden "@WIN [nombre del gusano]" si ésta existiera:

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Información adicional

IMPORTANTE:

Si el troyano ha sido instalado en el sistema, es posible que su computadora pueda ser accedida en forma remota por un intruso sin su autorización. Esto es más crítico en caso de tenerla conectada a una red. Por esta razón es imposible garantizar la integridad del sistema luego de la infección. El usuario remoto puede haber realizado cambios a su sistema, incluyendo las siguientes acciones (entre otras posibles):

• Robo o cambio de contraseñas o archivos de contraseñas.
• Instalación de cualquier software que habilite conexiones remotas, a partir de puertas traseras.
• Instalación de programas que capturen todo lo tecleado por la víctima.
• Modificación de las reglas de los cortafuegos instalados.
• Robo de números de las tarjetas de crédito, información bancaria, datos personales.
• Borrado o modificación de archivos.
• Envío de material inapropiado o incriminatorio desde la cuenta de correo de la víctima.
• Modificación de los derechos de acceso a las cuentas de usuario o a los archivos.
• Borrado de información que pueda delatar las actividades del atacante (logs, etc.).

Estas acciones solo se indican como ejemplo, pero de ningún modo deben tomarse como las únicas posibles.

Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

Back Orifice 2000
http://www.vsantivirus.com/bo2k.htm

W32/Avril.B. Se propaga vía e-mail, IRC, ICQ y KaZaA
http://www.vsantivirus.com/avril-b.htm

W32/Avril.A. Roba contraseñas, borra antivirus, infecta red (más)
http://www.vsantivirus.com/avril-a.htm

W32/Avron. Roba contraseñas, borra antivirus, infecta red
http://www.vsantivirus.com/avron.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com