VSantivirus No. 880 - Año 7 - Miércoles 4 diciembre de 2002
W32/Forlorn. Falso "Free Virus Removal Tool" de Symantec
http://www.vsantivirus.com/forlorn.htm
Nombre: W32/Forlorn
Tipo: Gusano de Internet
Alias: WORM_FORLORN.F, Win32/Forlorn.f.Worm, W32/Forlorn-C, Win32/HLLW.Soltern.C, I-Worm.Soltern.c, W32/Sytro.worm.r, W32/Forlorn@mm, W32/Soltern@mm, W32/Systro@mm, I.worm.Forlorn@mm
Tamaño: 192,512 bytes (UPX), 474,624 bytes
Plataforma: Windows 32-bits
Fecha: 3/dic/02
Este gusano, escrito en Delphi y comprimido con UPX, utiliza su propia máquina SMTP (Simple Mail Transfer Protocol), para propagarse a todos los contactos de la libreta de direcciones de Windows (.WAB).
Puede propagarse además, vía archivos compartidos en las redes KaZaa y Morpheus.
El mensaje que lo transporta, simula ser una utilidad gratuita de Symantec para remover virus:
Para:
[dirección del destinatario]
De:
Support@Symantec.com
Asunto:
Free Virus Removal Tool From Symantec
Datos adjuntos:
Norton Antivirus 2002.exe (188 KB)
Texto del mensaje:
Dear Sir,
Symantec Antivirus Lab released the new version
of free Virus Removall Tool!!
This tool able to remove the following dangerous
viruses:
-I-Worm.Klez
-I-Worm.Kiltro
-I-Worm.Langex
-I-Worm.Manymize
-I-Worm.Frethem
-I-Worm.Masana
-I-Worm.MyLife
-other 50 dangerous viruses
Just start the attached file, and It will check
your system. Best Regards
Symantec Antivirus Support
Cuando se ejecuta, el gusano despliega una ventana de mensajes vacía, seguida de otra con el siguiente texto:
Read beyond end of file.
[
Aceptar ]
Luego se copia a si mismo con el nombre de BIGMAN.EXE en una carpeta
"SysConfig" dentro del directorio de Windows:
C:\Windows\SysConfig\BigMan.exe
En el mismo directorio (C:\Windows\SysConfig\), crea además los siguientes archivos, todos copias modificadas del propio virus:
[DiVX] Harry Potter And The Sorcerors Stone Full Downloader.exe
[DiVX] Lord of The Rings Full Downloader.exe
Age of empires 2 crack.exe
AikaQuest3Hentai FullDownloader.exe
AIM Account Stealer Downloader.exe
Battle.net key generator (WORKS!!).exe
Borland Delphi 6 Key Generator.exe
Britney spears nude.exe
Cat Attacks Child Full Downloader.exe
CKY3 - Bam Margera World Industries Alien Workshop Full
CloneCD + crack.exe
CloneCD all-versions key generator.exe
Crazy Taxi Full Downloader.exe
DivX codec v6.0.exe
DivX newest version.exe
DivX patch - Increases quality.exe
DivX pro key generator.exe
DivX.exe
Downloader.exe
DSL Modem Uncapper.exe
Duke Nukem Manhattan Project Full Downloader.exe
F1 Grand Pix 4 Full Downloader.exe
Free Virus Removal Tool From Symantec.exe
Gladiator FullDownloader.exe
Grand theft auto 3 CD1 crack.exe
GTA3 crack.exe
Hack into any computer!!.exe
Hacking Tool Collection.exe
Half-life ONLINE key generator.exe
Half-life WON key generator.exe
How To Hack Websites.exe
Industry Giant II Full Downloader.exe
Internet and Computer Speed Booster.exe
Jenna Jameson - Built For Speed Downloader.exe
KaZaA media desktop v2.0 UNOFFICIAL.exe
KaZaA spyware remover.exe
Key generator for all windows XP versions.exe
Key generator for over 1,000 applications (really!).exe
LordOfTheRings-FullDownloader.exe
Macromedia dreamweaver MX (crack).exe
Macromedia Flash 5.0 Full Downloader.exe
Macromedia key generator (all products).exe
Microsoft key generator, works for ALL microsoft products!!.exe
Microsoft Office XP (english) key generator.exe
Microsoft Office XP iso Full Downloader.exe
Microsoft Windows XP crack pack.exe
MoviezChannelsInstaler.exe
MSN Password Hacker and Stealer.exe
Nero Burning Rom 5.5.9.3 Full Downloader.exe
Norton antivirus 2002.exe
PS1 Boot Disc Full Dwonloader.exe
Quake 4 BETA.exe
ScaryMovie 2 Full Downloader.exe
Shakira FullDownloader.exe
SIMS FullDownloader.exe
Sony Play station boot disc - Downloader.exe
Spiderman FullDownloader.exe
Star Wars Episode 2 - Attack Of The Clones Full Downloader.exe
Star Wars Episode 2 FULL Downloader.exe
Star Wars II Movie Full Downloader.exe
StarWars2 - CloneAttack - FullDownloader.exe
The Neverending Story Part I Full Downloader.exe
The Sun Of All Fears Full Downloader.exe
Warcraft 3 battle.net serial generator.exe
Warcraft 3 ONLINE key generator.exe
Warcraft III Full Downloader.exe
Windows XP Full Downloader.exe
Windows XP key generator.exe
Windows XP serial generator.exe
Winrar + crack.exe
Winzip 8.0 + serial.exe
Xbox.info.exe
Zidane-ScreenInstaler.exe
ZoneAlarm Firewall Full Downloader.exe
Estos archivos, copias del virus pero con modificaciones para tener diferentes tamaños, serán también copiados a continuación a las carpetas compartidas de Kazaa y Morpheus, infectando a los usuarios que los descarguen y ejecuten. La ubicación de estas carpetas es tomada del registro de Windows.
También en el registro, el gusano crea una entrada para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
BigMan = C:\Windows\SysConfig\BigMan.exe
"C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También se crea esta entrada en el registro, donde se almacenan las direcciones de correo a las que el gusano se envía:
HKEY_LOCAL_MACHINE\Software\BigMan
[n] = [dirección de correo]
email_num = [n]
sent = [cantidad de mensajes enviados]
[n] representa cualquier número comenzando en "1", que indica el orden de la secuencia de envío de los mensajes. Por ejemplo:
1 = alguien@dominio.algo
2 = otro@dominio2.etc
email_num = 2
sent = 2
El gusano aguarda tres minutos entre mensajes enviados. La secuencia es:
1. Extrae una dirección de la libreta
2. La agrega al registro
3. Se envía a dicha dirección
4. Actualiza la cantidad de mensajes enviados
5. Aguarda por tres minutos
6. Repite la secuencia desde el primer ítem
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre la siguiente carpeta:
C:\Windows\SysConfig
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
BigMan
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\BigMan
5. Pinche en la carpeta "BigMan" y bórrela
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Kazaa
\LocalContent
7. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque la siguiente entrada:
DisableSharing = 0
8. Haga doble clic sobre "DisableSharing" y escriba "1":
DisableSharing = 1
9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Morpheus
\LocalContent
10. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque la siguiente entrada:
MaxUploads = 3
11. Haga doble clic sobre "MaxUploads" y escriba "0":
MaxUploads = 0
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|