firewall
help
mailman
support
tech
tsupport
virusinfo
virusresearch
vlabs

Asunto: [uno de los siguientes]

CNN: 100s of PC's hacked
CNN: Virus released, millions of computers infected
Dangerous Virus info
Hackers on the loose
Urgent Information
VIRUS OUTBREAK
You may be at risk

Texto del mensaje: [uno de los siguientes]

Thousands of PC's were hacked this week; see the
attached document for details

Viruses are quickly spreading throughout the wild. See
the attached document for details

A virus outbreak was reported today. Run the attached
patch to help protect yourselfA firewall may be of use
due to the hacking outbreak, read the attached
document

Over 5000 computers were recently hacked today. To
help protect yourself, read the attached file.

Datos adjuntos: [alguno de los siguientes]

AntiVir.???
DetroitFix.???
Firewall_tips.???
FixVirus.???
HowTo.???
Information.???
Patch.???
SpyBotPatch.???

Donde ".???" es alguna de las siguientes extensiones:

.cmd
.doc.exe
.exe
.pif
.scr
.txt.exe
.txt.scr
.wpd.exe
.zip

Si el adjunto es un .ZIP, su contenido es una copia del gusano con una de las extensiones anteriores.

En ocasiones, el .ZIP puede contener otro archivo .ZIP, el cuál si contiene al ejecutable del virus.

Cuando un adjunto, o un archivo infectado descargado de redes P2P es ejecutado, el gusano muestra una ventana de error falsa con el siguiente mensaje:

DBADMIN.EXE
Database administrator error 106: Illegal byte seek
[   OK   ]

El gusano crea los siguientes archivos en el equipo infectado:

c:\windows\dbas.zip
c:\windows\system32\DBADMIN.EXE
c:\windows\system32\dbexe.dll
c:\windows\system32\dbzip.dll
c:\windows\system32\locks.dat
c:\windows\system32\sysdasp.exe

NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).

También crea los siguientes archivos en la misma carpeta desde donde haya sido ejecutado:

[espacios en blanco].cmd
[espacios en blanco].exe
[espacios en blanco].pif
[espacios en blanco].scr
+.rar[espacios en blanco].exe
005 Edition.exe
al C++.rar[espacios en blanco].exe
asic and Visual C++.rar[espacios en blanco].exe
c and Visual C++.rar[espacios en blanco].exe
e
exe
isual C++.rar[espacios en blanco].exe
Kazaa Lite 2005 Edition.exe
ows XP developer serials.txt[espacios en blanco].cmd
rez.iso[espacios en blanco].exe
scr
sual Basic and Visual C++.rar[espacios en blanco].exe
tivation crack.zip[espacios en blanco].exe
wn.avi[espacios en blanco].exe
xe
xt[espacios en blanco].cmd
zip[espacios en blanco].exe

El gusano infecta todos los archivos cuya extensión sea .EXE, en todos los directorios de la unidad C:

Para propagarse por redes de intercambio de archivos, intenta crear los siguientes en aquellas carpetas cuyo nombre contenga la cadena SHAR (esto incluye las carpetas compartidas por defecto por la mayoría de las aplicaciones P2P):

Bitches.mpeg[espacios en blanco].cmd
DVD Xcopy PRO AWrez.iso[espacios en blanco].exe
Full DVD download sites.txt[espacios en blanco].pif
Hacking and Virus Writing for Idiots.doc[espacios en blanco].exe
Hacking for Dummies.pdf[espacios en blanco].exe
HalfLife 2 WORKING Steam crack.exe
Hoedown.avi[espacios en blanco].exe
Internet Explorer 7.zip.exe
Kazaa Lite 2005 Edition.exe
NORTON 2006 beta FireWall.rar[espacios en blanco].scr
Norton AntiVirus 2006 BETA.exe
Pamela Anderson FULL VID.mpeg[espacios en blanco].scr
Playboy centerfold.jpeg[espacios en blanco].scr
Visual Basic and Visual C++.rar[espacios en blanco].exe
WinAmp 5.08.zip[espacios en blanco].exe
Windows 2005 SECRET BETA.iso[espacios en blanco].cmd
Windows XP developer serials.txt[espacios en blanco].cmd
Windows XP SP2 activation crack.zip[espacios en blanco].exe
Windows XP SP3 REAL VERSION.zip.exe
WinRAR 4 BETA.exe

Para autoejecutarse en cada reinicio de Windows, crea la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System Database Administration Support Process =
c:\windows\system32\sysdasp.exe

El gusano genera varios mutex (marcadores en memoria), para evitar ejecutarse mas de una vez al mismo tiempo o para evitar se ejecuten otros códigos.

Para propagarse por correo electrónico, el gusano extrae los contactos a los que se enviará, de la libreta de direcciones de Windows, y evita enviarse a aquellos que contengan en su nombre alguna de las siguientes cadenas:

.gov
@avp
@fsecure
@gmai
@hotmail
@microso
@mm
@msn
@norep
@norman
@norton
@panda
@sec
@sf.net
@sopho
@symant
@vir
abuse
help
listserv
postmaster
root
sample
sarc.
sarclist
secur
sophos
sourcef
support

Para enviarse sus mensajes infectados, utiliza su propio motor SMTP.

Examina si el equipo infectado se encuentra conectado a Internet, intentando acceder a los siguientes sitios:

cisco .com
lists .tislabs .com
mail .sarclab .com
nortelnetworks .com
snmp .com
tislabs .com
users .sourceforge .net

Si el "Administrador de tareas" se encontrara abierto, el gusano lo cierra.

También modifica el archivo HOSTS de Windows, para evitar que el usuario pueda navegar por los siguientes sitios:

ca .com
google .ca
google .com
liveupdate .symantec .com
mcafee .com
microsoft .com
nai .com
norton .com
rohitab .com
securityresponse .symantec .com
windowsupdate .com
www .ca .com
www .google .ca
www .google .com
www .mcafee .com
www .microsoft .com
www .nai .com
www .norton .com
www .rohitab .com
www .sophos .com
www .windowsupdate .com
www .yahoo .com
yahoo .com

Intenta finalizar la ejecución de los siguientes procesos, relacionados con antivirus y aplicaciones de seguridad:

agentsvr.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
atcon.exe
atguard.exe
atro55en.exe
atupdater.exe
atwatch.exe
au.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avgserv9.exe
avltmain.exe
avprotect9x.exe
avpupd.exe
avserve2.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe
bipcpevalsetup.exe
bisp.exe
blackd.exe
blackice.exe
bootwarn.exe
borg2.exe
bs120.exe
ccapp.exe
ccapp.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cmgrdian.exe
cmon016.exe
cpd.exe
cpf9x206.exe
cpfnt206.exe
cv.exe
cwnb181.exe
cwntdwmo.exe
d3dupdate.exe
defwatch.exe
deputy.exe
dpf.exe
dpfsetup.exe
drwatson.exe
drwebupw.exe
ent.exe
escanh95.exe
escanhnt.exe
escanv95.exe
exantivirus-cnet.exe
fast.exe
firewall.exe
flowprotector.exe
fp-win_trial.exe
frw.exe
fsav.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
gbmenu.exe
gbpoll.exe
guard.exe
hacktracersetup.exe
htlog.exe
hwpe.exe
iamapp.exe
iamserv.exe
icload95.exe
icloadnt.exe
icmon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
ifw2000.exe
iparmor.exe
iris.exe
jammer.exe
kavlite40eng.exe
kavpers40eng.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
killprocesssetup161.exe
ldpro.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lsetup.exe
luall.exe
lucomserver.exe
luinit.exe
mcagent.exe
mcupdate.exe
mfw2en.exe
mfweng3.02d30.exe
mgui.exe
minilog.exe
moolive.exe
mrflux.exe
msconfig.exe
msinfo32.exe
mssmmc32.exe
mu0311ad.exe
nav80try.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
netarmor.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
nisserv.exe
nisum.exe
nmain.exe
norton_internet_secu_3.0_407.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nprotect.exe
nsched32.exe
ntvdm.exe
nupgrade.exe
nvarch16.exe
nwinst4.exe
nwtool16.exe
ostronet.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
padmin.exe
panixk.exe
pavproxy.exe
pcc2002s902.exe
pcc2k_76_1436.exe
pcciomon.exe
pcdsetup.exe
pcfwallicon.exe
pcip10117_0.exe
pdsetup.exe
periscope.exe
persfw.exe
pf2.exe
pfwadmin.exe
pingscan.exe
platin.exe
poproxy.exe
popscan.exe
portdetective.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
procexplorerv1.0.exe
proport.exe
protectx.exe
pspf.exe
purge.exe
pview95.exe
qconsole.exe
qserver.exe
rav8win32eng.exe
rescue.exe
rescue32.exe
rrguard.exe
rshell.exe
rtvscn95.exe
rulaunch.exe
safeweb.exe
sbserv.exe
sd.exe
setup_flowprotector_us.exe
setupvameeval.exe
sfc.exe
sgssfw32.exe
shellspyinstall.exe
shn.exe
smc.exe
sofi.exe
spf.exe
sphinx.exe
spybot.exe
spyxx.exe
ss3edit.exe
st2.exe
supftrl.exe
supporter5.exe
symproxysvc.exe
sysedit.exe
taskmon.exe
taumon.exe
tauscan.exe
tc.exe
tca.exe
tcm.exe
tds2-98.exe
tds2-nt.exe
tds-3.exe
tfak5.exe
tgbob.exe
titanin.exe
titaninxp.exe
tracert.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
undoboot.exe
update.exe
vbcmserv.exe
vbcons.exe
vbust.exe
vbwin9x.exe
vbwinntw.exe
vcsetup.exe
vfsetup.exe
virusmdpersonalfirewall.exe
vnlan300.exe
vnpc3000.exe
vpc42.exe
vpfw30s.exe
vptray.exe
vscenu6.02d30.exe
vsecomr.exe
vshwin32.exe
vsisetup.exe
vsmain.exe
vsmon.exe
vsstat.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
w32dsm89.exe
w9x.exe
watchdog.exe
webscanx.exe
wgfe95.exe
whoswatchingme.exe
winrecon.exe
wnt.exe
wradmin.exe
wrctrl.exe
wsbgate.exe
wyvernworksfirewall.exe
xpf202en.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zauinst.exe
zonalm2601.exe
zonealarm.exe

Reparación manual


IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos borrados, dependerá del daño causado por el gusano desde el momento de ocurrida la infección, hasta el momento de su detección.


Deshabilitar las carpetas compartidas de programas P2P

Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.

Para ello, siga las instrucciones del siguiente artículo:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

System Database Administration Support Process

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1   localhost

4. Acepte guardar los cambios al salir del bloc de notas.

5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com