|
VSantivirus No. 873 - Año 7 - Miércoles 27 noviembre de 2002
W32/Hobo.A (Hobex). Se envía dentro de archivos .ZIP
http://www.vsantivirus.com/hobo-a.htm
Nombre: W32/Hobo.A (Hobex)
Tipo: Gusano de Internet
Alias: WORM_HOBO.A, HOBO.A, Hobo, W32.Hobo@mm, Win32.Hobex worm, Win32/Hobo.A.Worm, W32/Hobo-A, Win32/Hobo.A@mm, I-Worm.Hobex, W32/Hobo@MM
Tamaño: 50,233 bytes (UPX)
Este gusano, escrito en Visual Basic 6 y comprimido con la herramienta UPX, requiere las librerías runtime de ese software para ejecutarse (En Windows Me y superiores, se instalan por defecto).
Modifica la configuración del sistema para enviarse dentro de un archivo .ZIP, como adjunto a mensajes enviados por el usuario con la opción
"Enviar a..." del menú contextual (botón derecho sobre el archivo a enviar por correo).
Mantiene el nombre del archivo o archivos originales, pero cambia el contenido por el propio gusano en un archivo .ZIP.
Cuando se ejecuta (el usuario debe abrir el archivo .ZIP y ejecutar su contenido), se muestra una presentación animada de Macromedia Flash y la siguiente cadena de textos:
There's a voice that keeps on calling me.
Down the road. That's where I'll always be.
Oh, every stop I make, I make a new friend.
Can't stay for long. Just turn around, and I'm gone again.
Maybe tomorrow, I'll settle down.
Until tomorrow, I'll keep moving on.
So, if you want to join me for awhile,
just grab your hat, and we'll travel light. That's hobo style.
Maybe tomorrow, I'll want to settle down.
Until tomorrow, I'll just keep on moving on.
Until tomorrow, the whole world is my home.
También se copia a si mismo con los nombres de
HOBO.EXE y SENDTO.EXE en la carpeta de Windows:
C:\Windows\Hobo.exe
C:\Windows\Sendto.exe
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).
El archivo SENDTO.EXE es puesto con los atributos de oculto (+H) y de sistema (+S). Este no será visible hasta que no se habilite la opción necesaria en Windows (ver "Mostrar las extensiones verdaderas de los archivos").
El gusano utiliza las opciones MAPI (Messaging Application Programming Interface) para enviarse usando el Microsoft Outlook y Outlook Express.
Crea una carpeta oculta llamada _RESTOR en el raíz de
C:\ (tenga cuidado de no confundirla con la carpeta C:\_RESTORE creada por Windows Millennium y completamente legítima).
Luego, copia allí en forma temporal todos los archivos creados.
Después busca una carpeta "SendTo" en el sistema (C:\WINDOWS\SendTo) tomando su ubicación de la siguiente clave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders:
SendTo = C:\WINDOWS\SendTo
Luego reemplaza la carpeta MAIL RECIPIENT.MAPIMAIL de dicha carpeta (no está en todas las versiones de Windows), con otro archivo llamado
MAIL RECIPIENT.LNK creado por el propio gusano.
Este último es un acceso directo al archivo SENDTO.EXE.
Cómo resultado, cada vez que el usuario infectado use la opción "Enviar a..." del botón derecho y seleccione "Destinatario de correo", ejecutará al gusano en el archivo
SENDTO.EXE. Este archivo enviará en lugar del adjunto seleccionado, el propio gusano, en un formato .ZIP y con el nombre del archivo o archivos originales. Esto puede variar de acuerdo a la versión de Windows utilizada. El gusano está previsto para la versión en inglés, sin embargo, tenga en cuenta que usted puede recibir mensajes infectados.
Los mensajes enviados por el gusano pueden tener esta estructura:
Asunto:
Emailing: [lista de archivos enviados]
Datos adjuntos:
[Nombre1.zip, Nombre2.zip, etc.]
Texto del mensaje:
[vacío o parte del mensaje del usuario]
El contenido del mensaje puede variar porque el usuario puede modificarlo antes de realmente enviarlo. La técnica sin embargo, deja al usuario ignorante que el verdadero adjunto ha sido suplantado por el gusano.
El gusano utiliza WinZip para crear los archivos comprimidos, tomando los datos de la siguiente clave del registro:
HKCR\Applications\winzip32.exe\shell\open\command\
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Borrar los archivos creados por el gusano
1. Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows\Hobo.exe
C:\Windows\Sendto.exe
2. Borre la carpeta C:\_RESTOR y su contenido
¡ATENCION! No confunda C:\_RESTOR con
C:\_RESTORE, que NO debe ser borrada (es una carpeta usada al menos por Windows Me).
3. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
4. Borre también los mensajes electrónicos similares al descripto antes.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|