|
VSantivirus No. 809 - Año 6 - Miércoles 25 de setiembre 2002
W32/Hobble. Se propaga vía KaZaa y correo electrónico
http://www.vsantivirus.com/hobble.htm
Nombre: W32/Hobble
Tipo: Gusano de Internet
Alias: W32.Hobble@mm, I-Worm.Alcaul.z, W32/Alcaul
Fecha: 24/set/02
Plataforma: Windows 32-bits
Tamaño: 49,152 bytes
Este gusano, escrito en Visual Basic, intenta propagarse usando la red Peer-To-Peer de KaZaa, y además posee la capacidad de enviarse a si mismo a todas las direcciones de correo encontradas en los archivos temporales de Internet.
Cuando se ejecuta en Windows 95, 98 o Me, el gusano se registra como servicio, quedando en memoria al finalizar la sesión de usuario, sin ser visualizado al pulsar CTRL+ALT+SUPR.
Para propagarse a través de la red KaZaa el gusano se copia con los siguientes nombres en las carpetas compartidas de KaZaa
(C:\KaZaA\My Shared Folder y C:\Program Files\KaZaA\My Shared
Folder):
All GamesHack.exe
HotMailHack.exe
ICQ Password Hack.exe
Unreal Tournament 3 FullDownloader.exe
WIN XPCrack.exe
La rutina de envío masivo de correo electrónico busca en los archivos temporales del caché del explorador, direcciones válidas de todos los archivos con extensiones .HTM y .HTML.
La lista de direcciones es creada en un archivo llamado EMAIL.TXT, creado en la misma carpeta donde se encuentre el ejecutable del gusano.
Intentará además capturar el nombre del usuario infectado, su dirección de correo y el servidor SMTP para enviarse a si mismo a todos los nombres recogidos en
EMAIL.TXT, en un mensaje con las siguientes características:
Asunto:
RE:
Texto:
files for you - from [nombre del usuario]
Datos adjuntos:
[dos archivos con varios nombres]
El nombre de los datos adjuntos está formado al azar por las siguientes variables:
Adjunto 1 (primera parte del nombre del primer adjunto, el archivo del gusano de 49,152 bytes):
Anti 0190 Dialer
Bearshare_Fix
Beyond_FF11
Borland Delphi 6 Key
Borland Delphi(all) Crack
Britney Spears Nude
Claudia_Schiffer
Cube Emulator
Edonkey_Fix
Email Bomber
Final_Fantasy10
Flock_Update
FTP Cracker
FullSpeed
Hotmail Hacker Tool
I-Explorer7.0
Jenifer Lopez Naked
Kaza_Fix
Kaza_Lite_Update_Fix
McAffea_KeyGen
Morpheus_Update_Fix
New_Napster_Clone
Pamela_Live_Fucking
Ps2 Crack
Ps2 Emulator
Reboot
Shakira Nude
Symantec_KeyGen
WinMx Hack
WinXP_Crack
XBox Emulator
Y una de las siguientes extensiones:
.bat
.exe
.pif
.scr
Adjunto 2 (segundo archivo con tamaños variables):
AddamsFamily.theme
alcopaul.theme
AlexanderGrahamBellSecrets.zip
Anti 0190 Dialer.bat
BackstreetBoys.theme
Bearshare_Fix.bat
Beyond_FF11.bat
BritneySpearsNude.theme
ChristinaAguilera.theme
CIASecrets.zip
Claudia_Schiffer.bat
CounterStrikeCheats.zip
CourtneyCoxNude.theme
CplusplusUnleashed.zip
CreditCardNumbers.zip
DisneyBedTimeStories.zip
DragonballZ.theme
DrNo.theme
Edonkey_Fix.bat
Email Bomber.bat
Energy.theme
EroticStories.zip
Final_Fantasy10.bat
Flock_Update.bat
FTP Cracker.bat
FullSpeed.bat
Goldfinger.theme
HackApacheServersScript.bat
Hackers.theme
HackHotmailScript.bat
HackIISServersScript.bat
Hacking101.zip
HackMozillaServersScript.bat
HackPayPalScript.bat
HackSQLServersScript.bat
HackXBoxScript.bat
HackYahooScript.bat
Hotmail Hacker Tool.bat
JamesBond.theme
JokeForTheDay.zip
Kaza_Fix.bat
Kaza_Lite_Update_Fix.bat
LearnCSharp.zip
LearnHTML.zip
LearnKylix.zip
LearnPHP.zip
LearnVisualBasic.NET.zip
LearnVisualBasic.zip
LearnVisualC.zip
LearnVisualFoxPro.zi
LordoftheRings.theme
MakeMillions.zip
McAffea_KeyGen.bat
MichelleBranch.theme
Morpheus_Update_Fix.bat
New_Napster_Clone.bat
NewsweekSeptemberEditionCompressed.zip
NicoleKidmanFuck.theme
NikolaTeslaNotes.zip
NSync.theme
Pamela_Live_Fuck.bat
Phreaking.zip
PlayboyCenterFolds.theme
Reboot.bat
RedirectMeToHollywood.bat
SamuraiX.theme
SecretsOfAlbertEinstein.zip
SecretsofLaoTse.zip
SecretsOfMicrosoftdotNET.zip
Shakira Nude.theme
Shrek.theme
StarWars.theme
StephenKingUnreleasedNotes.zip
Symantec_KeyGen.bat
TheHives.theme
ThomasEdisonSecrets.zip
TipsOnMakingYourPartnerWild.zip
TroubleshootingyourComputer.zip
VirusWriting.zip
WindowsSourceCodeRedirect.bat
WinMx Hack.bat
WinXP_Crack.bat
XXX.theme
YouWantToBeAMillionaire.zip
Para generar esta segunda lista el gusano hace lo siguiente:
Si el archivo tiene extensión .ZIP, el gusano descarga de un sitio web una utilidad de compresión copiándola en la misma carpeta con el nombre de
ZIPPY.EXE. Luego la ejecuta con el nombre elegido, produciendo una copia comprimida del propio gusano.
Si el archivo posee extensión .BAT o .THEME, el gusano intentará crear un archivo de texto con el contenido del propio gusano codificado. Cuando es ejecutado utilizará la utilidad
DEBUG para crear con ese código una copia ejecutable del gusano. Sin embargo, los archivos
.BAT y .THEME así creados, poseen errores internos que los hacen inoperativos.
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|