| |
VSantivirus No. 776 - Año 6 - Viernes 23 de agosto de 2002
W32/Duload. Se propaga a través del KaZaa
http://www.vsantivirus.com/duload.htm
Nombre: W32/Duload.A, W32/Duload.B
Tipo: Gusano de Internet (P2P)
Alias: W32/Duload.worm, W32/Duload.worm.a, W32/Duload.worm.b,
W32/Duload-A, WORM_DULOAD.A, WORM_DULOAD.B, Worm.P2P.Duload.A, W32.HLLW.Yoof
Fecha: 21/ago/02
Tamaño: 18,432 bytes (A) y 7,680 bytes (B) (comprimido con UPX)
Plataforma: Windows 32-bits
Este gusano, escrito en Visual Basic 6, y de un tamaño de 18,432 bytes
en su variante 'A' (la variante 'B' del gusano está comprimida con una versión modificada de
UPX, y tiene 7,680 bytes), es una amenaza solo para usuarios de KaZaa, el popular sistema de intercambio de archivos Peer-to-Peer (P2P), y no posee ninguna rutina maliciosa que dañe el sistema infectado.
Figura con el nombre de varios archivos que pueden resultar atractivos para quien los descargue a su máquina desde una carpeta compartida de otro PC, a través del KaZaa. Al ejecutarlos, se produce la instalación del gusano en la computadora del usuario, copiándose en la siguiente ubicación:
C:\Windows\System\systemconfig.exe
En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).
Luego, el gusano crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Windows system Configure" = C:\WINDOWS\SYSTEM\SystemConfig.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"Windows system Configure" = C:\WINDOWS\SYSTEM\SystemConfig.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"Windows system Configure" = C:\WINDOWS\SYSTEM\SystemConfig.exe
También se copia con los siguientes nombres en la carpeta
C:\Windows\System\Media:
Alicia Silverstone Payboy Nude.exe
Bingo.exe
Britney Spears Dance Beat.exe
DDos Client.exe
Email Bomber.exe
FileServer.exe
Flash Golf.exe
Free Mpegs.exe
Free Pics.exe
Free Porn.exe
Hoes For You Solitare.exe
Hotmail Hacker.exe
Irc Client.exe
J.Lo Bikini Screensaver.exe
Jenna Jamison Dildo Humping.exe
Kama Sutra Tetris.exe
Kazaa Clone.exe
Mirc 7.0.exe
Napster Clone.exe
Pamela Anderson And Tommy Lee Home Video.exe
Play Games Online For FREE.exe
Ps2 Emulator.exe
Ps2 Iso 2 Rom Converter.exe
Shakira Dancing.exe
Soldier Of Fortune 2 Mutiplayer Serial Hack.exe
System Monitor.exe
The Sims Game Crack.exe
Universal Game Crack.exe
Warcraft 3 Battle.net Crack.exe
Website Hacker.exe
Win A Ps2.exe
Win An Xbox.exe
Winace.exe
Windows Hacker.exe
Winmx.exe
Winrar.exe
Winzip.exe
Working Iso Burner.exe
Xbox Emulator.exe
Xbox Iso 2 Rom Converter.exe
Para que la carpeta C:\WINDOWS\SYSTEM\Media\
sea compartida por otros usuarios del KaZaa, y estos puedan descargar cualquiera de los archivos antes mencionados, el gusano modifica las siguientes entradas en el registro:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir0" = C:\WINDOWS\SYSTEM\Media\
HKEY_LOCAL_MACHINE\Software\Kazaa\CloudLoad
"ShareDir" = C:\WINDOWS\SYSTEM\Media\
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir1" = C:\WINDOWS\SYSTEM\Media\
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir2" = 012345:C:\WINDOWS\SYSTEM\Media\
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"DisableSharing" = 0
HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir0" = 012345:C:\WINDOWS\SYSTEM\Media\
HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir1"= C:\WINDOWS\SYSTEM\Media\
HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir99" = 012345:C:\WINDOWS\SYSTEM\Media\
Ocasionalmente, el gusano intentará descargar un archivo de una dirección URL específica para luego copiarlo en la siguiente ubicación, donde intentará ejecutarlo:
C:\UNINSTALL.EXE
Este archivo no existe actualmente en la dirección especificada en el código del gusano.
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
3. Pinche en las carpetas "Run" y "RunServices" y en el panel de la derecha busque y borre en cada una de dichas carpetas, la siguiente entrada:
Windows system Configure
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en las carpetas "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Windows system Configure
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir cada una de las siguientes ramas (una por vez):
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
HKEY_LOCAL_MACHINE\Software\Kazaa\CloudLoad
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
HKEY_CURRENT_USER\Software\Kazaa\Transfer
7. En cada caso, pinche en las carpetas "LocalContent", "CloudLoad", "LocalContent", "Transfer" y en cada una de ellas en el panel de la derecha buscar y borrar las entradas que hagan referencia a la siguienrte carpeta:
C:\WINDOWS\SYSTEM\Media\
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Modificaciones:
24/ago/02 - Alias: W32/Duload-A, WORM_DULOAD.A, , W32.HLLW.Yoof
24/ago/02 - Alias: WORM_DULOAD.B, Worm.P2P.Duload.A
24/ago/02 - Diferencias variantes 'A' y 'B'
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
