VSantivirus No. 720 - Año 6 - Jueves 27 de junio de 2002
BAT/Eversaw.A. Datos adjuntos: BAT.FUCK.BAT
http://www.vsantivirus.com/eversaw-a.htm
Nombre: BAT/Eversaw.A
Tipo: Gusano de Internet (MS-DOS Batch)
Alias: BAT_EVERSAW.A, VBS_EVERSAW.A, IRC_EVERSAW.A,
I-Worm.Eversaw
Fecha: 26/jun/02
Tamaño: 6,500 bytes aprox.
Fuente: Trend
Este gusano de archivos batch (.BAT), se envía a si mismo a todas las direcciones de la libreta del Outlook (Outlook y Outlook Express).
El mensaje tiene estas características:
Asunto: Ever saw an encrypted batch-worm? N0? then it's time!
Texto:
Well, you don't have to execute the attachment (if you don't want to ;) ... hey, at least look at it! You can boast at your friends this evening at the strip: 'Hey comrades, today I saw an encrypted batch-worm!' ... Isn't that fascinating ?!
Datos adjuntos: BAT.FUCK.BAT
Cuando se ejecuta, el BAT crea una copia de si mismo en
C:\BAT.FUCK.BAT. Luego examina la existencia del archivo
CRYPT.VBS en el directorio de Windows. Si este archivo no existe, lo crea.
El archivo BAT ejecuta CRYPT.VBS seguido de BAT.FUCK.BAT
El script de Visual Basic realiza algunas operaciones con el archivo
BAT.FUCK.BAT, ya que este contiene algunos caracteres encriptados que son transformados en comandos normales de archivos batch. Por otro lado, se encriptan otras partes del código del .BAT que antes eran leíbles.
Cuando BAT.FUCK.BAT finalmente es ejecutado por la acción del
.VBS, se borran los siguientes productos antivirus, siempre que estén en las ubicaciones aquí mostradas:
C:\programme\norton~1\s32integ.dll
C:\programme\f-prot95\fpwm32.dll
C:\programme\mcafee\scan.dat
C:\tbavw95\tbscan.sig
C:\programme\tbav\tbav.dat
C:\tbav\tbav.dat
C:\programme\avpersonal\antivir.vdf
Luego, el gusano genera y ejecuta el archivo
C:\PAYLOAD.VBS, el cuál solo despliega una ventana con este mensaje:
bat.fuck
...be sure to get all the meanings...
(ah, this is a presentation of encrypted batch ;)
[ Aceptar ]
También modifica el registro agregando el valor MSG para que se ejecute
PAYLOAD.VBS en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSG = C:\Payload.vbs
Note que esto hace que se muestre el mensaje
'bat.fuck' descripto antes, cada vez que Windows se reinicia.
También se modifica el archivo WIN.INI agregando la siguiente línea bajo la etiqueta
'[windows]':
[windows]
load=c:\bat.fuck.bat
Esto hace que se ejecute BAT.FUCK.BAT cada vez que Windows se reinicia.
El gusano también intenta borra el archivo SCRIPT.INI del mIRC, de las siguientes ubicaciones y reemplazarlos con un
SCRIPT.INI propio:
C:\mirc\script.ini
C:\mirc32\script.ini
C:\progra~1\mirc\script.ini
C:\progra~1\mirc32\script.ini
Hace lo mismo con el archivo EVENTS.INI, en la carpeta
C:\Pirch98. Pirch98 y mIRC son clientes de IRC (Internet Relay Chat).
Los nuevos SCRIPT.INI y EVENTS.INI configuran sus respectivos programas para enviar copias de
BAT.FUCK.BAT a todos los usuarios unidos que compartan los canales visitados por el usuario infectado.
El virus también modifica las siguientes entradas del registro, pertenecientes al programa KaZaa, usado para compartir archivos entre usuarios a través de Internet:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing = dword:00000000
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DownloadDir = "C:\Program Files\KaZaA\My Shared Folder"
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir0 = "012345:c:\\"
Finalmente, el virus crea el archivo OUTLOOK.VBS en la carpeta de
Windows. Este script se encarga de enviar el archivo BAT.FUCK.BAT a todas los contactos de la libreta de direcciones del Outlook, en un mensaje idéntico al descripto arriba.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por el virus
4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):
C:\PAYLOAD.VBS
C:\PAYLOAD.REG
C:\KAZAA.REG
5. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
MSG
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. Se abrirá este archivo en el bloc de notas.
10. Modifique las siguientes entradas bajo la sección '[windows]':
[windows]
load=c:\bat.fuck.bat
Debe quedar como:
[windows]
load=
11. Grabe los cambios y salga del bloc de notas.
12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
