Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Cydog. Usa redes P2P y correo. Borra archivos
 
VSantivirus No. 966 - Año 7 - Viernes 28 de febrero de 2003

W32/Cydog. Usa redes P2P y correo. Borra archivos
http://www.vsantivirus.com/cydog.htm

Nombre: W32/Cydog
Tipo: Gusano de Internet
Alias: W32/Cydog@mm, W32/Cyberwolf@mm, I-worm.cydog@mm, W32/CHowl.B
Tamaño: 34,816 bytes
Plataforma: Windows 32-bits
Fecha: 26/feb/03

Basado en el gusano W32/CHowl (ver "W32/CHowl. Se propaga por redes P2P, finaliza antivirus", http://www.vsantivirus.com/chowl.htm), es en realidad un versión mejorada. También ha sido escrito en Visual Basic, seguramente a partir de las mismas fuentes, y luego comprimido con la utilidad UPX.

Se propaga en forma masiva a través de las redes de intercambio de archivos P2P como KaZaa, BearShare, eDonkey, Morpheus, Grokster y LimeWire.

También se envía a través de mensajes con diferentes asuntos, textos y datos adjuntos de extensiones .EXE o .SCR.

El gusano busca en memoria procesos de conocidos antivirus, e intenta finalizarlos.

Además borra archivos, modifica la configuración del mouse y del teclado, y se ejecuta en un bucle sin fin, creando varios hilos de si mismo hasta colapsar al sistema por falta de recursos.

Para enviarse a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, el gusano utiliza las funciones de las librerías MAPI (Messaging Application Programming Interface).

Cuando se ejecuta el adjunto, el gusano se copia en la carpeta de archivos compartidos del KaZaa, previa búsqueda de la misma en la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DownloadDir = "C:\Program Files\KaZaA\My Shared Folder"

El contenido de DownloadDir puede variar en una configuración personalizada.

Luego, el gusano crea la carpeta "Windows Security Haches" como subcarpeta de la carpeta de archivos compartidos del KaZaa:

\Windows Security Haches

Modifica el registro de Windows para reflejar los cambios hechos:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir0 = 012345: C:\Program Files\KaZaA\My Shared Folder\Windows Security Haches
DisableSharing = 0

Después se autocopia en diversas carpetas con los siguientes nombres:

\Windows Security Haches\Crackologic(All Windows Apps).exe
\Windows Security Haches\Credit Card Numbers Generator(Incl Visa,Mastercard,...).exe
\Windows Security Haches\Cyberwolf-Patch.exe
\Windows Security Haches\EA Games Keygen For All Versions(Only EA).exe
\Windows Security Haches\Edonkey2000-Speed Me Up Scotty.exe
\Windows Security Haches\Free Mem-Games-Speedup.exe
\Windows Security Haches\Hotmail Hacker 2003-Xss Exploit.exe
\Windows Security Haches\Imesh SDK+Xbit Speed Up.exe
\Windows Security Haches\Kazaa SDK + Xbit Speedup For 2.Xx.exe
\Windows Security Haches\Microsoft Keygenerator-Allmost All Microsoft Stuff.exe
\Windows Security Haches\My Kiss For You.Scr
\Windows Security Haches\Netbios Nuker 2003.exe
\Windows Security Haches\Popup Remover 9.25.exe
\Windows Security Haches\Security-2003-Update.exe
\Windows Security Haches\Stripping MP3 Dancer+Crack.exe
\Windows Security Haches\The Cyberwolf-Joke.Scr
\Windows Security Haches\Visual Basic 6.0 Msdn Plugin.exe
\Windows Security Haches\W32.Cyberwolf@Mm Fix.exe
\Windows Security Haches\Windows Xp Exploit.exe
\Windows Security Haches\Winrar 3.Xx Password Cracker.exe
\Windows Security Haches\Winzipped Visual C++ Tutorial.exe
\Windows Security Haches\Xnuker 2003 2.93b.exe
C:\Archivos de programa\Bearshare\Shared\Bearshare<Pro 4.3.1 Beta Version.exe
C:\Archivos de programa\Bearshare\Shared\Chaos Ip 2003-Xp Compitable.exe
C:\Archivos de programa\Bearshare\Shared\Hotmail Hacker 2003-Xss Exploit.exe
C:\Archivos de programa\Bearshare\Shared\Netbios Nuker 2003.exe
C:\Archivos de programa\Bearshare\Shared\Xnuker 2003 2.93b.exe
C:\Archivos de programa\Edonkey2000\Incoming\EA Games Keygen For All Versions(Only EA).exe
C:\Archivos de programa\Edonkey2000\Incoming\Edonkey2000-Ad Remover.exe
C:\Archivos de programa\Edonkey2000\Incoming\Hotmail Hacker 2003-Xss Exploit.exe
C:\Archivos de programa\Edonkey2000\Incoming\Netbios Nuker 2003.exe
C:\Archivos de programa\Edonkey2000\Incoming\Winrar3.Xx Password Cracker.exe
C:\Archivos de programa\Grokster\My Grokster\Grokster Ad-Remover.exe
C:\Archivos de programa\Grokster\My Grokster\Netscan 1.6.exe
C:\Archivos de programa\Grokster\My Grokster\Stripping Mp3 Dancer+Crack.exe
C:\Archivos de programa\Grokster\My Grokster\Trojan Utility 5.6.exe
C:\Archivos de programa\Grokster\My Grokster\Winrar 3.Xx Password Cracker.exe
C:\Archivos de programa\Grokster\My Grokster\Xss Security Exploit-Hotmail.exe
C:\Archivos de programa\Limewire\Shared\Crackologic(All Windows Apps).exe
C:\Archivos de programa\Limewire\Shared\Credit Card Generator
C:\Archivos de programa\Limewire\Shared\Lunix-Download.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Chaos Ip.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Morpheus-Gold.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Netbios Exploiter Xp.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Webseek-Mp3.exe
C:\Windows\System\Cyberwolf.exe
C:\Windows\System\Cyberwolf.exe
C:\Windows\System\Kernell32.exe
C:\Windows\System\Ms-Dos.Com
C:\Windows\System\Regedit32.exe
C:\Windows\System\Rundll32.exe
C:\Windows\System\Service.exe
C:\Windows\System\System\Explorer.exe
C:\Windows\System\System\System.exe
C:\Windows\System\System32.exe
C:\Windows\System\Systems.exe
C:\Windows\System\Windows.Scr
C:\Windows\TEMP\Windows Media Player Plugin.exe

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Para ejecutarse cada vez que se reinicie el sistema crea las siguientes entradas en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CyberWolf = CyberWolf.exe
Windows Systems Service = C:\Windows\System\Kernell32.exe
Windows Kernell = C:\Windows\System\Dllhost.exe
Dllhost = C:\Windows\System\msiexec.exe
Windows Installer Service = C:\Windows\System\CyberWolf.exe

También crea esta clave:

HKCU\Software\Microsoft\CyberWolf
CyberWolf = You are Biten

Después, borra todos los archivos en las siguientes ubicaciones:

C:\Archivos de programa\Common Files\Symantec Shared
C:\Archivos de programa\Norton AntiVirus

También borra todos los archivos con extensiones .EXE, .DLL, .OCX, y .INI que encuentre en el sistema.

Luego, haciendo uso de objetos WMI (Windows Management Instrumentation) intenta terminar los procesos de conocidos antivirus.

WMI (Windows Management Instrumentation), es un estándar de Microsoft para la gestión integrada de sistemas basada en la web, creada para Windows 2000, pero implementada en todas las plataformas de Windows, incluyendo Windows 95. El gusano utiliza llamadas a objetos bajo este modelo, para detectar los servicios que se ejecutan, en este caso los diferentes productos antivirales, cortafuegos, etc.

Para que WMI funcione, se requiere el archivo "WinMgmt.exe" (es un componente normal de Windows, no un código malicioso). Este es el componente principal para la gestión de WMI. Bajo Windows 9x, funciona como un ejecutable independiente. Bajo Windows NT/2000, como un servicio.

Los ejecutables que el gusano intenta eliminar son los siguientes:

_Avp32.exe
Anti-trojan.exe
Aupdate.exe
Avp.exe
Avpcc.exe
Avpmon.exe
Blackice.exe
Bootwarn.exe
Ccapp.exe
Ccshtdwn.exe
Cfind.exe
Esafe.exe
Findviru.exe
Kpf.exe
Kpfw32.exe
Luall.exe
Navapw32.exe
Nmain.exe
Nupdate.exe
Qconsole.exe
Regedit.exe
Scan32.exe
Taskmgr.exe
Webscan.exe
Zapro.exe

Luego, muestra una ventana de diálogo con el siguiente texto:

Fatal Error in Windows Kernell

Fatal Error in Windows Kernell
Please allow a 10 MINUTES access for windows to send an
error report to microsoft in hope they solve this error
This operation could take a few moments but it will help
microsoft to make an Windows Update
If a dialog is prompted from MS Outlook then please click
the yes button to allow Windows to send the e-mail!

[    OK    ]

Luego, a través de funciones MAPI, utiliza el Outlook (y Outlook Express) para enviarse a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.

Los mensajes varían entre estos diferentes formatos:

=====================================================

Asunto: EA and EIDOS Presents...
Datos adjuntos: CyberWolf-Patch.exe (34,816 bytes)

Texto del mensaje:

Dear client
Some information about our long-awaited product: CyberWolf
CyberWolf is the newest product of Electronic Arts and Eidos Interactive!
Its a complete new technology which actualy speeds up you're processor time needed to play game of EA and EIDOS
Including FIFA 2003,BATTLEFIELD 1942,NHL2003,CM01/02 and all the other games produced by these companies!
The technology behind these new product is something that clear's excisting ram when playing this game--->Results:
The speed and graphical abilities are increased by 35%,so loading a new game wile go 35% faster!So more gameplay,less waiting and looking at that um screen!
But it will take sometime for EA and EIDOS to alert all peoples who has EA and EIDOS games,but...
They decided to mail the CyberWolf-Patch to users who have games from EA and EIDOS and to people who visited the website within the past 18 months!
also they decided to mail this patch to workers in companies and to other people who are using the internet regulary
If you want to enjoy this Speed-the-hell-out-ya-head-PATCH then just install the attachment,restart you're pc and start playing games or... wait until you buy a EA or EIDOS game,and enjoy it then!the choice is yours!
Before i forget:This patch seems to work on other games as well,it speeds up those games by 15-30% depending on the game!
----------------------------------------------
This email is provided to you by PacketStorm,please enjoy our services
This product may NOT be soled or copied!It may only be used by the intended recipient and this only for the purpose for which it has been sent
If you are not the intended recipient,then please contact EA or EIDOS at EE-CyberWolf.patch@EA-EIDOS.com and delete this e-mail and attachement
We believe and warrant that this e-mail and any attachments, are virus free,we take full responsibility about this attachment
CyberWolf
For more information please contact us at EE-CyberWolf.patch@EA-EIDOS.com or suft to www.EA.com/project\cyberwolf.htm and ww.eidos.com\cyberwolf.asp
E-mail provided to you by Elena (Elena@EA-EIDOS.com)

=====================================================

Asunto: PacketStorm:WINDOWS Xp has several exploits
Datos adjuntos: Windows Xp Exploit.exe (34,816 bytes)

Texto del mensaje:

According to the redaction of PacketStorm
Windows Xp has several exploits which could not be removed because if the do want to delete it then they should rewrite Kernell! but this would mean rewriting everything Micrsoft had build up over the last years'
Bill Gates from microsoft reported that there is no exploit at all!,it was just a joke from a hacker attending to scar off windows XP users
However the word goes around that allready several users and admins have been hacked by an mysterious hacker nicknamed 'The CyberWolf' 
if you want more information about this exploit and the exploit itself,then open the included e-mail do not forget to vote for PacktStorm when running the attachment,Enjoy the rest of our services
This email is provided to you by PacketStorm,please enjoy our services

=====================================================

Asunto: A Virtual joke...the funniest around!
Datos adjuntos: The CyberWolf-Joke.scr (34,816 bytes)

Texto del mensaje:

hi 
have you heard about the CyberWolf-Joke?
its soooo funny you 'll laugh yourself a bunch when you see and hear the joke
haha those little bastards on your screen are soooo funny:D:D
just download and open the attached screensaver (The CyberWolf-Joke.scr = this is actually the joke) and look at it funny hu!!!
after you have run the joke click ctrl+shift+p to see who made it.
I hope you have fun with it
greeetttzzz

***************************************************
This e-mail is presented to you by Joking-Soft,a division of MicroSoft.
If you have any problems with this e-mail or attachment then please contact us.
We take full responsability for this e-mail and attachements.
They are virusfree and are property of Joking-Soft
Please do not Sell or Distribute these atachments.
I thank you

=====================================================

Asunto: A kiss from me to you...
Datos adjuntos: My Kiss for you.scr (34,816 bytes)

Texto del mensaje:

Dear User
Someone has dropped a kiss in you're mailbox!
Check-Out the attached Kiss from the anonymous person,probably a secret lover or a very good friend
After you have been kissed please visit www.internetkiss.com and send this kiss to all the person who you adore or just like
You are Nr.315723625 who has received this Internet-Kiss.
This Internet-Kiss-Letter is started on 13/01/1997 and hopes to continue until 13/01/2007.

=====================================================

El gusano crea entonces una clave en el registro, que utiliza como indicador de envío de los mensajes:

HKEY_CURRENT_USER\Software\Mail-The-Bastards
CyberWolf = They are emailed

También modifica la página de inicio del Internet Explorer por la siguiente (que actualmente no existe):

http://CyberWolf-has-bitten-you.com

Además, modifica en el registro, algunos parámetros que involucran al ratón y al teclado, tales como la velocidad del puntero, el rango de movimiento, tiempo de espera entre las teclas pulsadas, tiempo de repetición de caracteres (cuanto se espera al pulsar una tecla continuamente, antes de empezar a repetir su valor en pantalla, etc.

También puede cambiar la configuración para hacer visibles o no a los archivos ocultos así como que se muestren o no ciertas extensiones de archivos.

Puede crear un archivo de texto y luego imprimirlo directamente, utilizando la impresora marcada como activa.

Finalmente, lanza múltiples hilos de si mismo (diferentes ejecuciones del mismo archivo), lo que termina agotando los recursos disponibles, causando el cuelgue del sistema.


Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Archivos de programa\Bearshare\Shared\Bearshare<Pro 4.3.1 Beta Version.exe
C:\Archivos de programa\Bearshare\Shared\Chaos Ip 2003-Xp Compitable.exe
C:\Archivos de programa\Bearshare\Shared\Hotmail Hacker 2003-Xss Exploit.exe
C:\Archivos de programa\Bearshare\Shared\Netbios Nuker 2003.exe
C:\Archivos de programa\Bearshare\Shared\Xnuker 2003 2.93b.exe
C:\Archivos de programa\Edonkey2000\Incoming\EA Games Keygen For All Versions(Only EA).exe
C:\Archivos de programa\Edonkey2000\Incoming\Edonkey2000-Ad Remover.exe
C:\Archivos de programa\Edonkey2000\Incoming\Hotmail Hacker 2003-Xss Exploit.exe
C:\Archivos de programa\Edonkey2000\Incoming\Netbios Nuker 2003.exe
C:\Archivos de programa\Edonkey2000\Incoming\Winrar3.Xx Password Cracker.exe
C:\Archivos de programa\Grokster\My Grokster\Grokster Ad-Remover.exe
C:\Archivos de programa\Grokster\My Grokster\Netscan 1.6.exe
C:\Archivos de programa\Grokster\My Grokster\Stripping Mp3 Dancer+Crack.exe
C:\Archivos de programa\Grokster\My Grokster\Trojan Utility 5.6.exe
C:\Archivos de programa\Grokster\My Grokster\Winrar 3.Xx Password Cracker.exe
C:\Archivos de programa\Grokster\My Grokster\Xss Security Exploit-Hotmail.exe
C:\Archivos de programa\Limewire\Shared\Crackologic(All Windows Apps).exe
C:\Archivos de programa\Limewire\Shared\Credit Card Generator
C:\Archivos de programa\Limewire\Shared\Lunix-Download.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Chaos Ip.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Morpheus-Gold.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Netbios Exploiter Xp.exe
C:\Archivos de programa\Morpheus\My Shared Folder\Webseek-Mp3.exe
C:\Windows\System\Cyberwolf.exe
C:\Windows\System\Cyberwolf.exe
C:\Windows\System\Kernell32.exe
C:\Windows\System\Ms-Dos.Com
C:\Windows\System\Regedit32.exe
C:\Windows\System\Rundll32.exe
C:\Windows\System\Service.exe
C:\Windows\System\System\Explorer.exe
C:\Windows\System\System\System.exe
C:\Windows\System\System32.exe
C:\Windows\System\Systems.exe
C:\Windows\System\Windows.Scr
C:\Windows\TEMP\Windows Media Player Plugin.exe

Borre la carpeta "Windows Security Haches" y todo su contenido.

C:\Program Files\KaZaA\My Shared Folder\Windows Security Haches

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a los descriptos antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

3. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Dir0

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\CyberWolf

5. Pinche en la carpeta "CyberWolf" y bórrela.

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Mail-The-Bastards

7. Pinche en la carpeta "Mail-The-Bastards" y bórrela.

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

9. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

CyberWolf
Windows Systems Service
Windows Kernell
Dllhost
Windows Installer Service

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Pinche en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Pinche en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Pinche en "Aceptar".


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS