VSantivirus No. 856 - Año 7 - Domingo 10 de noviembre de 2002
FriendGreetings II. Envío masivo de tarjetas de saludo
http://www.vsantivirus.com/friendgr-b.htm
Nombre: FriendGreetings.B (Friendgr.B)
Tipo: Gusano de Internet
Alias: W32.Friendgreet.worm, Friendgreetings, WORM_FRIENDGRT.A, WORM_FRIENDGRT.B, Friend Greeting application, Friend Greeting application (II), Friend_Greeting.B@mm, Iworm.Friendgr, Friendgreetings E-Card, E-Card, Friend greetings, Permissioned Media
Tamaño: 137,728 bytes, 136,182 bytes, 300 Kb (aprox.)
Fecha: 8/nov/02
Esta variante del "FriendGreetings (Friendgr)" (ver "FriendGreetings, una falsa tarjeta de saludo",
http://www.vsantivirus.com/friendgr.htm), se propaga a través de un mensaje que informa al destinatario que alguien le ha enviado una tarjeta de saludo, invitándolo a visualizarla por medio de un enlace a un sitio Web.
Esta versión y posteriores, hacen desaparecer la barra de tareas de Windows, de modo que no se puede pasar a otra aplicación mientras el software se ejecuta.
Aunque técnicamente no es un gusano, ya que requiere que el usuario instale el software y se le advierte que esa acción enviará mensajes similares a la lista de contactos de su programa de correo, un aumento importante de reportes de estos mensajes, lleva a que prácticamente todos los antivirus lo detecten como tal.
Las características del mensaje son similares a la versión anterior:
Asunto:
<Destinatario> you have an E-Card from
<Remitente>
Texto:
Greetings!
<Remitente> has sent you an E-Card -- a virtual postcard
from FriendGreetings.com. You can pickup your E-Card at
the FriendGreetings.com by clicking on the link below.
http://[dirección]/pickup/pickup.aspx?code=[xxx]
Message:
-------------------------------------------------------------------------------------
<Destinatario>,
I sent you a greeting card. Please pick it up.
<Remitente>
-------------------------------------------------------------------------------------
Las diferencias entre las variantes vistas hasta ahora (reportadas todas como "FriendGreetings.B (Friendgr.B)"), es el cambio del enlace al sitio de la tarjeta. Se han detectado al menos estas direcciones:
www.cool-downloads.com
www.cool-downloads.net
www.friend-card.com
www.friend-card.net
www.friend-cards.com
www.friend-cards.net
www.friend-greeting.com
www.friend-greeting.net
www.friend-greetings.com
www.friendgreetings.com
www.friend-greetings.net
www.friendgreetings.net
Cuando el usuario pincha sobre el enlace correspondiente, se le muestra una ventana con una falsa advertencia, pidiendo la descarga de un certificado de seguridad:
Security Warning
Do you want to install and run "FriendGreetings"
signed on 11/8/2002 5:54 AM and distributed by:
Permissioned Media Inc.
Publisher authenticity verified by Thawte Server CA
Caution: Permissioned Media Inc. asserts that this
content is safe. You should only install/view this
content if you trust Permissioned Media Inc. to make
that assertion.
[ ] Always trust content from Permissioned Media Inc.
[ Yes ] [ No
] [ More Info ]
Si el usuario acepta haciendo clic en "Yes", los siguientes archivos son descargados en el sistema:
Fiendcard.exe
Tafw.exe
Ambos archivos son ejecutados automáticamente, mostrándose como archivos de instalación MSI (Microsoft Installer Package), los cuáles muestran dos acuerdos de licencia para su uso (License Agreement). El segundo de ellos pregunta al usuario si se le permite acceder a la libreta de direcciones del Outlook, para enviar un mensaje de correo con la invitación de descargar los productos de FriendGreetings:
License Agreement
Please read the following license agreement carefully.
Press the PAGE DOWN key to see the rest of the agreement.
1. Consent to E-Mail Your Contacts. As part of the installation process, Permissioned Media will access your MicroSoft Outlook(r) Contacts list and send an e-mail to persons on your Contacts list inviting them to download FriendGreetings or related products. By downloading, installing, accessing or using the FriendGreetings, you authorize Permissioned Media to access your MicroSoft(r) Outlook(r) Contacts list and to send a personalized e-mail message to persons on your Contact list. IF YOU DO NOT WANT US TO ACCESS YOUR CONTACT LIST AND SEND AN E-MAIL MESSAGE TO PERSONS ON THAT LIST, DO NOT DOWNLOAD, INSTALL, ACCESS OR USE FRIENDGREETINGS.
Si el usuario acepta, el programa envía un mensaje como el recibido antes, a todos los contactos de la libreta. Además se continúa la instalación, con la descarga de los componentes de la tarjeta. En pantalla se muestra una ventana de progreso clásica.
Si no acepta, el gusano finalizará su acción, sin ninguna otra consecuencia.
El instalador descarga los siguientes archivos:
%Program Files%\Common
Files\Media\INSTALL.LOG
%Program Files%\Common
Files\Media\Uninstal.EXE
%Program Files%\Common
Files\Media\OTDOCK.DLL
%Program Files%\Common
Files\Media\OTGLOVE.DLL
%Program Files%\Common
Files\Media\OTMS.EXE
%Program Files%\Common
Files\Media\OTUPDATE.EXE
%Program Files%\Common
Files\Media\WINSRVC.EXE
%Program Files%\Common
Files\Media\WINSRVC.DAT
"%Program Files%\Common Files\" corresponde a
"C:\Archivos de programa\Archivos comunes\Media" en las versiones en español de Windows.
El gusano crea también las siguientes claves en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PMedia = [carpeta de instalación]\Winsrvc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Friend
Greetings
DisplayName = "Friend Greetings"
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Friend
Greetings
UninstallString = "%Program Files%\Common
Files\UNWISE.EXE
%Program Files%\Common Files \INSTALL.LOG"
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinSrv
Reg
DisplayName = "WinSrv Reg"
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinSrv
Reg
UninstallString = "%Program Files%\Common
Files\Media\UNINSTAL.EXE"
"%Program Files%\Common Files\Media\INSTALL.LOG"
"WinSrv Reg Uninstall"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Pmedia = "%Program Files%\Common
Files\Media\winsrvc.exe"
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\
{3972ADCE-8737-45DE-A6E2-A253348E5A1E}
HKLM\Software\CLASSES\IEEvtCatcher.IEEvtCatcherObj.1
(Predeterminado) = "IEEvtCatcherObj Class"
HKEY_LOCAL_MACHINE\Software\CLASSES\
IEEvtCatcher.IEEvtCatcherObj.1\CLSID
(Prederminado) =
"{7011471D-3F74-498E-88E1-C0491200312D}"
HKLM\Software\CLASSES\IEEvtCatcher.IEEvtCatcherObj
(Prederminado) = "IEEvtCatcherObj Class"
HKEY_LOCAL_MACHINE\Software\CLASSES\
IEEvtCatcher.IEEvtCatcherObj\CLSID
(Prederminado) =
"{7011471D-3F74-498E-88E1-C0491200312D}"
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\
{7677C920-9CC3-4621-AF8C-AD45402DC2FD}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\
{7011471D-3F74-498E-88E1-C0491200312D}
HKEY_LOCAL_MACHINE\Software\CLASSES\Interface\
{059D8C85-A00F-40AF-8078-7692A0A79F19}
Después de descargar sus componentes, el gusano accede inmediatamente a la libreta de direcciones del Outlook y envía a cada contacto un mensaje similar al ya descripto.
Después de que la rutina de envío masivo se completa, el sitio que contiene el gusano muestra una tarjeta electrónica con el texto:
"Have a great day".
Durante la instalación, el gusano oculta la barra de tareas de Windows.
Desinstalar la aplicación "Friend Greetings"
1. Pinche en Inicio, Configuración, Panel de control
2. En el Panel de control, seleccione "Agregar o quitar programas"
3. En la lista de componentes instalados, seleccione "Friend Greetings" y pinche en el botón "Agregar o quitar..."
4. Reinicie su computadora
Desinstalar la aplicación "WinSvr Reg"
Esta aplicación es instalada por el software de instalación de la tarjeta. Pero también puede serlo por otras aplicaciones legítimas. Sin embargo, puede ser desinstalada,
1. Detenga el proceso en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale la siguiente:
Winsrvc
3. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.
4. Pinche en Inicio, Configuración, Panel de control
5. En el Panel de control, seleccione "Agregar o quitar programas"
6. En la lista de componentes instalados, seleccione "WinSvr Reg" y pinche en el botón "Agregar o quitar..."
Borrar los archivos creados por el gusano
1. Con el Explorador de Windows seleccione una de las siguientes carpetas (la que corresponda a su versión de Windows):
C:\Program Files\Common Files\Media
C:\Archivos de programa\Archivos comunes\Media
2. Localice y borre los siguientes archivos en la carpeta "Media":
Install.log
OTDock.dll
Otglove.dll
Otms.exe
Otupdate.exe
Uninstal.exe
Winsrvc.dat
Winsrvc.exe
3. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
4. Actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos duros
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha borre el siguiente valor:
PMedia
4. En el panel de la izquierda seleccione la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Uninstall
\WinSrv Reg
5. Pinche en la carpeta "WinSrv Reg" y bórrela.
6. En el panel de la izquierda seleccione la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\explorer
\Browser Helper Objects
7. Pinche en la carpeta "Browser Helper Objects" y en el panel de la derecha borre el siguiente valor:
{7011471D-3F74-498E-88E1-C0491200312D}
8. En el panel de la izquierda seleccione la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\CLASSES
9. Pinche en la carpeta "CLASSES" y en el panel de la derecha borre los siguientes valores:
IEEvtCatcher.IEEvtCatcherObj.1
IEEvtCatcher.IEEvtCatcherObj
10. En el panel de la izquierda seleccione la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\CLASSES
\CLSID
11. Pinche en la carpeta "CLSID" y en el panel de la derecha borre los siguientes valores:
{7011471D-3F74-498E-88E1-C0491200312D}
{7677C920-9CC3-4621-AF8C-AD45402DC2FD}
12. En el panel de la izquierda seleccione la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\CLASSES
\TypeLib
13. Pinche en la carpeta "TypeLib" y en el panel de la derecha borre el siguiente valor:
{3972ADCE-8737-45DE-A6E2-A253348E5A1E}
14. En el panel de la izquierda seleccione la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\CLASSES
\Interface
15. Pinche en la carpeta "Interface" y en el panel de la derecha borre el siguiente valor:
{059D8C85-A00F-40AF-8078-7692A0A79F19}
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Relacionados:
FriendGreetings, una falsa tarjeta de saludo
http://www.vsantivirus.com/friendgr.htm
FriendGreetings III. Envío masivo de tarjetas de saludo
http://www.vsantivirus.com/friendgr-c.htm
FriendGreetings IV. Versión con troyano "Hide Minimized"
http://www.vsantivirus.com/friendgr-d.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|