Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/BluECard (Lanet). Adjunto: BlueMountaineCard.pif
 
VSantivirus No. 998 - Año 7 - Martes 1 de abril de 2003

W32/BluECard (Lanet). Adjunto: BlueMountaineCard.pif
http://www.vsantivirus.com/bluecard.htm

Nombre: W32/BluECard (Lanet)
Tipo: Gusano de Internet
Alias: W32/Cult.B, BLUEECARD, I.worm.BlueEcard@mm, I-Worm.Cult.b, W32.HLLW.Cult.B@mm, W32/BluECard@mm, W32/Lanet@mm, W32/Lanet@MM, Win32.Cult.B, Win32/Lanet.Worm
Fecha: 31/mar/03
Tamaño: 8,224 bytes
Plataforma: Windows 32-bit

Se trata de un gusano escrito en Visual C++ y comprimido con XTPack, capaz de enviarse en forma masiva a través del correo electrónico y las redes de intercambio de archivos entre usuarios KaZaa.

Para el envío a través del correo, utiliza su propia rutina SMTP, por lo que no depende del programa de correo instalado en la computadora infectada para propagarse.

El mensaje enviado presenta estas características:

Asunto: Hi, I sent you an eCard from BlueMountain.com
Datos adjuntos: BlueMountaineCard.pif

Texto del mensaje:

To view your eCard, open the attachment

If you have any comments or questions, please visit
htto://www.bluemountain.com/customer/index.pd

Thanks for using BlueMountain.com.

El adjunto es el gusano propiamente dicho, el cuál simula ser una tarjeta electrónica de salutación.

Cuando el usuario intenta abrirla, el gusano se copia a si mismo en la carpeta System ("C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

C:\Windows\System\wuauqmr.exe

Luego crea la carpeta "jdfghtrg":

C:\Windows\System\jdfghtrg\

Y se copia allí con los siguientes nombres:

ACDSee 5.5.exe
Ad-aware 6.5.exe
Age of Empires 2 crack.exe
aim cracker.exe steal usernames.exe
aim password cracker aol cracker.exe
Animated Screen 7.0b.exe
Anno 1503_crack.exe
AOL Instant Messenger.exe
aol password cracker.exe
AquaNox2 Crack.exe
Audiograbber 2.05.exe
AVP_Crack.exe
BabeFest 2003 ScreenSaver 1.5.exe
Babylon 3.50b reg_crack.exe
Battlefield1942_bloodpatch.exe
Battlefield1942_keygen.exe
BitDefender.KeyGen.exe
Borland KeyGens.exe
Business Card Designer Plus 7.9.exe
C&C Generals_crack.exe
C&C Renegade_crack.exe
Clone CD 5.0.0.3 (crack).exe
Clone CD 5.0.0.3.exe
Coffee Cup Free HTML 7.0b.exe
Cool Edit Pro v2.55.exe
Crack McAfee 7.exe
Crack Norton 3000.exe
Diablo 2 Crack.exe
DirectDVD 5.0.exe
DirectX Buster (all versions).exe
DirectX InfoTool.exe
DivX 5.03 Codecs.exe
divx pro.exe
DivX Video Bundle 6.5.exe
Download accelarator.exe
Download Accelerator Plus 6.1.exe
driver.exe
DVD Copy Plus v5.0.exe
DVD Region-Free 2.3.exe
FIFA2003 crack.exe
Final Fantasy VII XP Patch 1.5.exe
Flash MX crack (trial).exe
FlashGet 1.5.exe
FreeRAM XP Pro 1.9.exe
GetRight 5.0a.exe
Global DiVX Player 3.0.exe
Gothic 2 licence.exe
GTA 3 Crack.exe
GTA 3 patch (no cd).exe
GTA 3 Serial.exe
gta3.exe
Guitar Chords Library 5.5.exe
HackNTTools.zip .exe
Hitman_2_no_cd_crack.exe
Hot Babes XXX Screen Saver.exe
hotgirls.exe
how to hack.exe
how to use a shell.pif
ICQ Lite (new).exe
ICQ Pro 2003a.exe
ICQ Pro 2003b (new beta).exe
iMesh 3.6.exe
iMesh 3.7b (beta).exe
IrfanView 4.5.exe
KaZaA Hack 2.5.0.exe
KaZaA Lite (New).exe
KaZaA Speedup 3.6.exe
Links 2003 Golf game (crack).exe
Living Waterfalls 1.3.exe
Mafia_crack.exe
Matrix Screensaver 1.5.src
MediaPlayer Update.exe
mIRC 6.40.exe
MP3 encoder_decoderV1.8.exe
mp3Trim PRO 2.5.exe
MSN Messenger 5.2.exe
NBA2003_crack.exe
Need 4 Speed crack.exe
Nero Burning ROM crack.exe
Netfast 1.8.exe
Network Cable e ADSL Speed 2.0.5.exe
Neverwinter_Nights_licence.exe
NHL 2003 crack.exe
Nimo CodecPack (new) 8.0.exe
Nod32Crack.exe
PaintShop Pro 7 Crack_By_Force.exe
PalTalk 5.01b.exe
PANDA.AVers.lusers.exe
PANDA.lusers.exe
play station emulator crack.exe
play station emulator.exe
Popup Defender 6.5.exe
Pop-Up Stopper 3.5.exe
porn.exe
QuickTime_Pro_Crack.exe
Serials 2003 v.8.0 Full.exe
SM.exe
SmartFTP 2.0.0.exe
SmartRipper v2.7.exe
SMS_sender.exe
SophosCrackAllVersion.exe
Space Invaders 1978.exe
Splinter_Cell_Crack.exe
Steinberg_WaveLab_5_crack.exe
Trillian 0.85 (free).exe
TweakAll 3.8.exe
Unreal2_bloodpatch.exe
Unreal2_crack.exe
UT2003_bloodpatch.exe
UT2003_keygen.exe
UT2003_no cd (crack).exe
UT2003_patch.exe
virtua girl - adriana.pif virtua girl - bailey short skirt.pif
Virtua Girl (Full).exe
warcraft 3 crack.exe 100 free essays school.pif
warcraft 3 serials.pif
WarCraft_3_crack.exe
Winamp 3.8.exe
WindowBlinds 4.0.exe
WinOnCD 4 PE_crack.exe
WinZip 9.0b.exe
worldbook.exe
Yahoo Messenger 6.0.exe
Zelda Classic 2.00.exe
ZoneAlarm Pro KeyGen.exe
zoneallarm_pro_crack.exe

También se agrega al registro en las siguientes claves, para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NvCpTDaemon = wuauqmr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
NvCpTDaemon = wuauqmr.exe

También modifica el directorio compartido de descarga del KaZaa, para apuntar al directorio donde se ha copiado el propio gusano:

HKEY_CURRENT_USER\Software\KAZAA\LocalContent
Dir0 = C:\Windows\System\jdfghtrg\
DisableSharing = 0

El gusano se conecta en forma alternativa a varios servidores SMTP indicados en una lista interna en su código, para enviar sus mensajes infectados, como el descripto al principio.

Se envía a todos los contactos de la libreta de direcciones de Windows (WAB, Windows Address Book). También recoge direcciones en los archivos temporales de la memoria caché y otros.

Los mensajes enviados poseen una dirección de remitente falsa. Los mensajes son armados de acuerdo al siguiente criterio:

1. Selecciona el nombre del remitente de una lista de 100 nombres comunes, encriptados en su propio código. Por ejemplo:

Gammons
Kaylee
Lighthall
McRaney
Peter
Raker
Sandra
Sandy Michel
Selnes
Vittorini
[Etc.]

2. Selecciona como destinatario un nombre ficticio seleccionado de una cadena cifrada de un máximo de 8 caracteres, agregándole uno de los siguientes dominios:

Earthlink.net
email.com
hotmail.com
msn.com
Roadrunner.com
yahoo.com


Reparación manual

Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\System\wuauqmr.exe

También borre la carpeta "jdfghtrg" y su contenido:

C:\Windows\System\jdfghtrg\

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

NvCpTDaemon

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Runonce

5. Pinche en la carpeta "Runonce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (puede no existir):

NvCpTDaemon

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

7. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre la siguiente entrada:

DisableSharing = "0"

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualización:

02/abr/03 - Alias: I.worm.BlueEcard@mm, I-Worm.Cult.b
02/abr/03 - Alias: W32.HLLW.Cult.B@mm, W32/Lanet@MM
02/abr/03 - Alias: Win32.Cult.B, Win32/Lanet.Worm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS