|
VSantivirus No. 889 - Año 7 - Viernes 13 de diciembre de 2002
W32/Hantaner. Infecta todos los EXE compartidos en KaZaa
http://www.vsantivirus.com/hantaner.htm
Nombre: W32/Hantaner
Tipo: Virus infector de archivos
Alias: W32/HLLP.Hantaner, W32.HLLP.Handy, W32/HLLP.Hantaner.A, Win32.HLLP.Hantaner
Fecha: 5/dic/02
Tamaño: 24,064 bytes (UPX)
Plataforma: Windows 32-bits
Se trata de un infector de archivos escrito en Borland Delphi 6 y comprimido con UPX.
Cuando un archivo infectado por este virus se ejecuta, infecta todos los archivos con extensión
.EXE únicamente, presentes en la carpeta que lo contiene.
En el caso de haberse recibido a través de las utilidades de intercambio de archivos entre usuarios como
KaZaa, o descargado con el Internet Explorer de algún sitio, el virus infectará todos los archivos con esa extensión, posiblemente todos los programas descargados hasta el momento.
El virus se agrega al principio de los ejecutables que infecta. El virus no comprueba que se traten de verdaderos
.EXE, y se agrega a cualquier archivo que tan solo hubiera sido renombrado como
.EXE.
La ubicación de la carpeta de descarga varía según el sistema o programas instalados. En KaZaa por ejemplo, suele ser
"\Archivos de programa\KaZaA\My Shared Folder".
En cualquier caso, el virus obtiene del registro el nombre de estas carpetas. En caso de no existir ninguna carpeta asignada, el virus no se ejecutará, y tampoco dará ningún mensaje de error.
En ocasiones, los archivos infectados pueden resultar corruptos y por lo tanto no funcionarán correctamente.
El virus no se mantiene en memoria, se ejecuta al abrir un archivo infectado e infecta otros archivos como ya vimos. Luego termina su acción hasta que otro archivo ejecutable sea infectado.
La primera vez que se ejecuta, luego de obtener la ubicación de las carpetas de descarga del IE y de
KaZaa, el virus crea una lista de los ejecutables .EXE allí presentes.
Durante la infección de otros archivos .EXE, se crean dos nuevos archivos en
C:\Windows:
C:\Windows\Hanta
C:\Windows\010101.dat
Ambos serán eliminados por el propio virus cuando éste
acabe su ejecución (actúan como archivos temporales, y salvo que el virus se
detenga antes de finalizar su ataque, estos archivos nunca serán vistos.
El virus usa un archivo que guarda en la carpeta TEMP de
Windows, y que empieza con la cadena "Joi" (el resto varía). "Joi" viene de "Joiner", una utilidad que puede unir dos ejecutables en uno solo. Este archivo es el código agregado al principio de los
.EXE infectados.
Notemos que debido a la característica de infectar todos los archivos disponibles para descarga del KaZaa, tiene probabilidades de propagarse bastante, infectando todos los archivos
.EXE de todas las máquinas conectadas a dicha red de intercambio.
Cómo tampoco realiza modificaciones en el registro, la forma de eliminarlo es desconectar la opción de compartir archivos del KaZaa, y ejecutar un antivirus actualizado antes de usar cualquier archivo descargado en su PC de las fuentes mencionadas.
Deshabilitar las carpetas compartidas de KaZaa
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones.
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Intente reparar todos los archivos detectados como infectados,
en caso contrario bórrelos.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|