Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Backzat.G (Kirbo.A). Se propaga por redes P2P e IRC
 
VSantivirus No. 1069 Año 7, Miércoles 11 de junio de 2003

W32/Backzat.G (Kirbo.A). Se propaga por redes P2P e IRC
http://www.vsantivirus.com/backzat-g.htm

Nombre: W32/Backzat.G (Kirbo.A)
Tipo: Gusano de Internet 
Alias: W32/Kirbo.A, WORM_KIRBO.A, Kirby, KirbyFlooder, IRC_KIRBO.A, VBS_KIRBO.A, BAT_KIRBO.A, W32.HLLW.Backzat.G, W32/Backzat.G
Fecha: 10/jun/03
Tamaño: 95,232 bytes
Plataforma: Windows 32-bit

Este gusano se propaga a través de redes Peer-To-Peer, se copia a unidades de disco compartidos en red , y a través del IRC (Internet Relay Chat).

Al ejecutarse, crea los siguientes archivos:

c:\windows\system\cutekirby.scr
c:\windows\system\tasksystemdll.exe

También crea una copia de si mismo con el nombre de KIRBSTER.EXE en todas las unidades de disco locales y de red.

Para autoejecutarse en cada reinicio, crea la siguiente entrada en el registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinSysStartUpWKbLw = c:\windows\system\tasksystemdll.exe

Para propagarse por las redes P2P KaZaa, Morpheus, BearShare, Edonkey2000, ICQ y Grokster, el gusano libera copias de si mismo en las siguientes carpetas y con los siguientes nombres:

[carpeta compartida del KaZaa]
Rage Against The Machine - Sleep Now In This Fire.Mp3.Exe

Morpheus\My Shared Folder\
PennyWise - Land Of The Free.Mp3.Exe

BearShare\Shared\
Therion - Nifelheim.Mp3.Exe

EDonkey2000\Incoming\
Feeder - Under The Weather.Mp3.Exe

My Downloads\
ePs2e - PS2 Emulator.Exe

ICQ\Shared Files\
WinIso - Iso Ripper.Exe

Grokster\My Grokster\
AFI - 6 To 8.Mp3.Exe

Sin embargo, si en el sistema no estuviera instalado el KaZaa, el resto de las copias en las otras aplicaciones indicadas, no son creadas.

Para propagarse a través de los canales de chat, hace uso de la aplicación mIRC, creando o modificando un archivo SCRIPT.INI en la carpeta donde esté instalado este programa.

Cuando el mIRC se ejecuta, el gusano es enviado a los demás usuarios de los canales visitados por la víctima, con el nombre de CUTEKIRBY.SCR, usando las facilidades del comando DCC del mIRC.

Si no se encuentra instalado el mIRC en la máquina infectada, el archivo SCRIPT.INI es creado en la carpeta de los perfiles del usuario actual, lo que no tiene ningún efecto.

Si el usuario tiene instalado el AOL Instant Messenger (AIM), el gusano copia el archivo CUTIEPINKKIRBY.SCR en la carpeta AIM95 dentro de "C:\Archivos de programa" (por defecto). Sin embargo, este archivo no estará disponible automáticamente para los demás usuarios del AIM como supone el autor del gusano.

El gusano crea también el archivo KIRBY.BAT en el raíz de la unidad C. Cuando se ejecuta, este archivo de proceso por lotes crea el archivo KIRBYBMP.BMP también en la raíz de C. El gusano hace que este archivo de imágenes en formato BMP sea el papel tapiz del escritorio de la máquina infectada.

Esta imagen representa al personaje de los videojuegos (Kirby) que da uno de los nombres conque se conoce al gusano (Kirbo).

También es modificado el registro para que se ejecute el gusano como protector de pantalla:

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = c:\windows\system\cutekirby.scr

Cada lunes, el gusano crea estos archivos en el raíz de la unidad C y luego ejecuta al primero de los .BAT:

KirbyFlood.BAT
KirbyFlood.VBS
KirbyMail.VBS

Esto ejecuta un bucle sin fin que llama al propio archivo BAT y al script de Visual Basic. Cuando el sistema queda sin recursos, muestra el siguiente mensaje:

L0NEwOlf strikes again! W.32.Kirby Fl00der by LONEwOLf.

Cuando se ejecuta el archivo KIRBYFLOOD.VBS se muestra una ventana de diálogo con el siguiente mensaje:

Enter The w0lf
Are you ready? W32.Kirby.Fl00der By L0NEw0lf
[  OK  ]

Cada vez que se pulsa en el botón [OK] vuelve a aparecer la misma ventana.

El archivo KIRBYMAIL.VBS tendría que enviar el gusano a toda la libreta de direcciones del usuario infectado, pero falla por un error en su código.

El mensaje tendría que presentarse de esta forma:

Asunto: Fw: Hello there
Datos adjuntos: CuteKirby.scr

Texto del mensaje:

Hey, I just received a screen saver in the mail
and it is really cute. Take a look.

Cuando se ejecuta, muestra un falso mensaje de error:

Error
There was a critical error in the application
the video drivers could not load, if you continue
to experience problems try restarting your computer
[  OK  ]

También crea un archivo KIRBYWINS.MP3 en el raíz de la unidad C, que ejecuta el tema musical del video juego de Kirby.

Además, intenta reemplazar todos los archivos .EXE en la carpeta actual con su propia copia.


Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\cutekirby.scr
c:\windows\system\tasksystemdll.exe
c:\kirbyflood.bat
c:\kirbyflood.vbs
c:\kirbymail.vbs
c:\kirbywins.mp3
c:\kirby.bat
c:\kirbybmp.bmp

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

WinSysStartUpWKbLw

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Control Panel
\Desktop

5. Pinche en la carpeta "Desktop" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

SCRNSAVE.EXE

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Quitar el papel tapiz

Pinche con el botón derecho sobre cualquier área vacía del escritorio, y seleccione Propiedades. En la lengüeta "Fondo" seleccione el de su preferencia o "Ninguno".


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS