Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Chainsaw. Deshabilita el ZoneAlarm para propagarse
 
VSantivirus No. 382 - Año 5 - Miércoles 25 de julio de 2001

Nombre: W32/Chainsaw
Tipo: Gusano de Internet
Alias: Win32.Chainsaw
Fecha: 17/jul/01

Se trata de un gusano capaz de propagarse a través de Internet, sin utilizar el correo electrónico.

La primera vez que se ejecuta, el gusano se copia a si mismo en la carpeta de sistema de Windows:

C:\Windows\System\WINMINE.EXE

Luego, se agrega al registro para ejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Mines = C:\Windows\System\WINMINE.EXE

El gusano también quita la línea "Run=" del archivo "C:\Windows\WIN.INI".

Cuando el gusano se ejecuta desde Windows\System, permanece monitoreando cualquier conexión activa a Internet.

Cuando se produce una conexión, el gusano examina si se está ejecutando el software ZoneAlarm.

Si esto es así, intentará cerrarlo. ZoneAlarm es un cortafuego de uso personal que impediría la acción del troyano para extenderse.

El gusano genera al azar direcciones de Internet (IP) e intenta copiarse a las máquinas que encuentre en esas direcciones. Esto lo hace, intentando conectarse a alguno de estos puertos:

27374 (usado por el troyano SubSeven)
12345 y 12346 (usado por el troyano NetBus)
139 (usado por los recursos compartidos de Windows)

Si el gusano se conecta utilizando el SubSeven o el NetBus, envía los comandos necesarios para descargar en el sistema remoto el gusano con el nombre de "Chainsaw.exe", y luego ejecutarlo.

Si se conecta a un recurso compartido de Windows, el gusano intentará mapear la unidad compartida, y buscar la ubicación del directorio usado por WINDOWS, extrayéndolo del archivo MSDOS.SYS en el raiz de la unidad compartida. 

Luego, copia su código con el nombre "Chainsaw.exe" en esa unidad, y agrega su ubicación a la línea "Run=" del archivo "WIN.INI" en la máquina remota.

Existe una de 666 chances de que el gusano active su rutina maliciosa cuando se ejecuta. Esta rutina también puede activarse si el gusano es modificado, por ejemplo, si su tamaño varía.

Cuando esta rutina se ejecuta, el gusano libera el archivo BBQ666.COM en la carpeta Windows\System, y lo ejecuta.

Este archivo es un destructivo troyano que sobreescribe sectores de los primeros dos discos duros de la PC infectada, con el siguiente texto (esto impide el acceso a los discos duros por los medios normales):

THE FILM WHICH YOU ARE ABOUT TO SEE IS AN ACCOUNT OF THE TRAGEDY WHICH BEFELL A GROUP OF FIVE YOUTHS. IN PARTICULAR SALLY HARDESTY AND HER INVALID BROTHER FRANKLIN. IT IS ALL THE MORE TRAGIC IN THAT THEY WERE YOUNG. BUT, HAD THEY LIVED VERY, VERY LONG LIVES, THEY COULD NOT HAVE EXPECTED NOR WOULD THEY HAVE WISHED TO SEE AS MUCH OF THE MAD AND MACABRE AS THEY WERE TO SEE THAT DAY. FOR THEM AN IDYLLIC SUMMER AFTERNOON DRIVE BECAME A NIGHTMARE. THE EVENTS OF THAT DAY WERE TO LEAD TO THE DISCOVERY OF ONE OF THE MOST BIZARRE CRIMES IN THE ANNALS OF AMERICAN HISTORY, THE TEXAS CHAIN SAW MASSACRE...

Si el gusano se ejecuta primero (en un reinicio), desde C:\Windows\System\Chainsaw.exe, el borrará esa copia, y enviará el siguiente mensaje al grupo de noticias alt.horror:

From: "Leatherface" <hacked.up.for@bbq.net>
Subject: CHAINSAWED
Newsgroups: alt.horror
WHO WILL SURVIVE
AND WHAT WILL BE LEFT OF THEM?


Como sacar el virus de un sistema infectado

Para eliminar el virus manualmente, siga estos pasos:

1. Primero ejecute un antivirus al día.

2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Mines

5. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

7. Si existe alguna referencia a los archivos del troyano en la línea "Run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
run = C:\Windows\System\Chainsaw.exe

Debe quedar como:

[Windows]
run =

8. Grabe los cambios y salga del bloc de notas.

9. Pinche en Inicio, Buscar, Archivos o carpetas.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Ver también:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red

Fuente: Computer Associates
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS