| |
VSantivirus No. 907 - Año 7 - Martes 31 de diciembre de 2002
W32/Hantaner.B. Infecta los EXE compartidos en KaZaa
http://www.vsantivirus.com/hantaner-b.htm
Nombre: W32/Hantaner.B
Tipo: Virus infector de archivos
Alias: W32/Hantaner.B, W32.Hanta.B, W32.Handy.B, W32/HLLP.Hantaner.B, W32.HLLP.Handy.B, W32/Hantaner-A
Fecha: 30/dic/02
Tamaño: 24,064 bytes (UPX)
Plataforma: Windows 32-bits
Se trata de un infector de archivos escrito en Borland Delphi 6 y comprimido con UPX, variante del
Hantaner.A (conocido también como "A" por algunos antivirus).
Cuando un archivo infectado por este virus se ejecuta, infecta todos los archivos con extensión .EXE únicamente, presentes en la carpeta que lo contiene.
En el caso de haberse recibido a través de las utilidades de intercambio de archivos entre usuarios como KaZaa, o descargado con el Internet Explorer de algún sitio, el virus infectará todos los archivos con esa extensión, posiblemente todos los programas descargados hasta el momento.
El virus se agrega al principio de los ejecutables que infecta. No comprueba que se traten de verdaderos .EXE, y se agrega a cualquier archivo que tan solo hubiera sido renombrado como .EXE.
La ubicación de la carpeta de descarga varía según el sistema o programas instalados. En KaZaa por ejemplo, suele ser
"\Archivos de programa\KaZaA\My Shared Folder".
En cualquier caso, el virus obtiene del registro el nombre de estas carpetas:
HKCU\Software\Kazaa\Transfer\DownloadDir
HKCU\Software\Microsoft\Internet Explorer\Download Directory
En caso de no existir ninguna carpeta asignada, el virus no se ejecutará, y tampoco dará ningún mensaje de error.
En ocasiones, los archivos infectados pueden resultar corruptos y por lo tanto no funcionarán correctamente.
El virus no se mantiene en memoria, se ejecuta al abrir un archivo infectado e infecta otros archivos como ya vimos. Luego termina su acción hasta que otro archivo ejecutable sea infectado.
La primera vez que se ejecuta, luego de obtener la ubicación de las carpetas de descarga del IE y de KaZaa, el virus crea una lista de los ejecutables .EXE allí presentes.
Durante la infección de otros archivos .EXE, se crean dos nuevos archivos en C:\Windows:
C:\Windows\Hanta
C:\Windows\010101.dat
Ambos serán eliminados por el propio virus cuando éste acabe su ejecución (actúan como archivos temporales, y salvo que el virus se detenga antes de finalizar su ataque, estos archivos nunca serán vistos.
El virus usa un archivo que guarda en la carpeta TEMP de Windows, y que empieza con la cadena "Joi" (el resto varía). "Joi" viene de "Joiner", una utilidad que puede unir dos ejecutables en uno solo. Este archivo es el código agregado al principio de los .EXE infectados.
Notemos que debido a la característica de infectar todos los archivos disponibles para descarga del KaZaa, tiene probabilidades de propagarse bastante, infectando todos los archivos .EXE de todas las máquinas conectadas a dicha red de intercambio.
Cómo tampoco realiza modificaciones en el registro, la forma de eliminarlo es desconectar la opción de compartir archivos del KaZaa, y ejecutar un antivirus actualizado antes de usar cualquier archivo descargado en su PC de las fuentes mencionadas.
En su código se puede leer el siguiente texto [*], con partes encriptadas, y una clara alusión (casi personal), a los creadores de Per Antivirus:
HANTA-Vjoiner ,si que lo hice yo, ErGrone/GEDZAC...
eso va para los seÓoritos de PER, en especial a Machado,
que no tiene la educaciÕn necesaria para responder un E-Mail.
y para los que se enojaron con CPL, jeje, pa que ocupan Hotmail!!!,
teniendo miles de mailbox gratis y con mas espacio.
FallÕ la Heuristica y contra una tÊcnica antigua JoJOjOO-Escrito en Delphi 6!-
[*] Trozo extraido de la descripción de Per Antivirus
Deshabilitar las carpetas compartidas de KaZaa
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones.
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Intente reparar todos los archivos detectados como infectados, en caso contrario bórrelos.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
