| |
VSantivirus No. 881 - Año 7 - Jueves 5 de diciembre de 2002
W32/Holar.C (Galil). Datos adjuntos: "iLLeGal.exe"
http://www.vsantivirus.com/holar-c.htm
Nombre: W32/Holar.C (Galil)
Tipo: Gusano de Internet
Alias: W32/Holar.c@MM, W32/Lagel.A, W32.Holar.C@mm, W32/SfxDeth.A-mm, W32/Holar.C@MM, I.worm.Holar.C@mm, I-Worm.Galil, Worm/Holar.C,
Lagel
Tamaño: 54,514 bytes (UPX), 80,626 bytes
Plataformas: Windows 32-bits
Fecha: 4/dic/02
Se trata de un gusano de envío masivo, escrito en Microsoft Visual Basic 5, y comprimido con la utilidad UPX, tercer variante conocida de la serie "Holar".
Esta versión posee código capaz de eliminar todos los archivos en las unidades de disco D, E, F y G.
Utiliza su propio motor SMTP además del Microsoft Outlook u Outlook Express para enviarse a contactos recolectados en archivos de la máquina infectada. El mensaje puede enviar múltiples copias adjuntas del mismo gusano, y simula ser enviado por un usuario de Yahoo.
El mensaje posee estas características:
Asunto:
Fwd: Crazy illegal sex !
Datos adjuntos:
iLLeGal.exe
Puede existir algún mensaje que se envíe con un archivo
"illegalSex.zip" como adjunto.
Texto del mensaje:
[en ocasiones es el nombre de cualquier archivo en la
computadora infectada]
Note: forwarded message attached.
------------------------------------------------------------------------------------------------
Do You Yahoo!?
Yahoo! Finance - Get real-time stock quotes
<p class="code">
Forwarded Message [ Save to my Yahoo! Briefcase | Download File ]
From: Sara1987@yahoo.com
To: Virgin_gurlz_N_boyz@yahoogroups.com
Date: 24 Aug 2002 17:11:18 -0000
Subject: Fwd: Crazy illegal Sex
------------------------------------------------------------------------------------------------
Hii
Is it really illegal in da USA?
who knows :P
If u have a weak heart i warn u
DON'T see dis Clip.<br /> Emagine two young children havin
crazy sex fo da first time togetha !
loooool i'm still wonderin where thier
parents were?
Good Fuck , oh sorry :">
i mean Good Luck ;)
Bye
El icono del adjunto es el asociado a los archivos "Shockwave Flash file" por defecto:
Cuando el adjunto "iLLeGal.exe" se ejecuta con un doble clic del usuario, el virus libera varios archivos en la carpeta
C:\Windows\System por defecto (puede variar de acuerdo al sistema operativo instalado (con ese nombre en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP):
C:\Windows\System\Illegal.exe
C:\Windows\System\Mplayer.exe
C:\Windows\System\Smtp.ocx
C:\Windows\System\Mmails.dll
El archivo ILLEGAL.EXE (80,626 bytes), es el componente principal, el cuál actúa como "dropper", liberando a los otros archivos.
MPLAYER.EXE (13,824 bytes) es el encargado del envío masivo por correo electrónico (es copiado con los atributos de "oculto"), y
SMTP.ocx (25,737 bytes) es una librería requerida por el gusano para sus funciones de envío.
MMAILS.DLL es un archivo de texto, a pesar de su extensión .DLL, el cuál contiene las direcciones de correo usadas para el envío.
Cuando se ejecuta el "dropper" (el adjunto al mensaje), se despliegan una serie de ventanas
con los siguientes mensajes animados:
Loading...
100 _________________________________________ 5
|
El número de la derecha actúa como un contador (de cero en adelante). Cuando llega a 100, se muestra otra ventana con el título
"Sorry !" y el siguiente texto:
Looooooooool, thanx fo da time u spent thinkin ov me
[ Aceptar ]
|
Luego aparece de nuevo otra ventana con fondo negro y letras rojas, con
otra animación mostrando el siguiente texto:
it was a lil joke don't be mad :)
100 ________________________________________ 101
|
El gusano también crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
iLLeGaL = C:\Windows\System\Mplayer.exe
Además agrega la siguiente entrada en el raíz de "HKEY_LOCAL_MACHINE":
iLLeGal = 1
Este contador es incrementado en cada ejecución del gusano. Cuando el número llega a 5, procede a borrar todos los archivos de las unidades de disco
D: E: F: y G:, desplegando antes el siguiente mensaje:
ZaCker
No Peace Without war,i hate war but im forced to
love it,Hidden Power's gonna b there wherever u r
El gusano extrae las direcciones para autoenviarse desde la máquina infectada, de la libreta de direcciones del Outlook y Outlook Express, y de archivos .HTM y .HTML disponibles en el sistema (incluidos los existentes en carpetas de archivos temporales).
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Nota: En el caso de haberse producido el borrado de archivos descripto antes, Windows no podría reiniciarse, debiéndose proceder a reinstalar el sistema.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows\System\Illegal.exe
C:\Windows\System\Mplayer.exe
C:\Windows\System\Smtp.ocx
C:\Windows\System\Mmails.dll
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en la carpeta "HKEY_LOCAL_MACHINE" y en el panel de la derecha busque y borre la siguiente entrada:
iLLeGaL
3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
4. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
iLLeGaL
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
11/dic/02 - Galil como segundo nombre y actualización en la
descripción.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
