Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Holar.E. Destructivo gusano usa e-mail y P2P
 
VSantivirus No. 987 - Año 7 - Viernes 21 de marzo de 2003

W32/Holar.E. Destructivo gusano usa e-mail y P2P
http://www.vsantivirus.com/holar-d.htm

Nombre: W32/Holar.D
Tipo: Gusano de Internet
Alias: W32/Holar.e@MM, W32.Hawawi.Worm, WORM_HOLAR.E, W32.Hawawi.Worm, W32/Holar.e@MM
Fecha: 19/mar/03
Tamaño: 58,009 bytes

Idéntico a la versión W32/Holar.D (ver http://www.vsantivirus.com/holar-d.htm), pero con algunas diferencias en los nombres y tamaños de algunos de los archivos.

Intenta propagarse vía e-mail, a través de las redes de archivos compartidos P2P, vía PalTalk y sobre ICQ.

Contiene una rutina altamente destructiva, que trunca a cero bytes todos los archivos, de todas las unidades de disco locales y mapeadas con las siguientes extensiones:

*.cpp
*.doc
*.dpr
*.frm
*.htm
*.html
*.jpg
*.mdb
*.mde
*.mp3
*.mpeg
*.mpg
*.pdf
*.php
*.pps
*.ppt
*.ram
*.rar
*.rm
*.sql
*.swf
*.txt
*.wav
*.xls
*.zip

Esta forma de destrucción, hace prácticamente imposible la recuperación de los archivos borrados.

El gusano consiste en varios archivos concatenados en uno solo (Hawawi.pif). 

El "dropper" es el que descarga al gusano en el sistema infectado.

Cuando se ejecuta, genera una copia de sí mismo (archivo "Media Player.exe" de 26,112 bytes), en la carpeta System de Windows:

C:\Windows\System\Media Player.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

También crea en el registro la entrada adecuada para autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Ioadqm = C:\Windows\System\Media Player.exe

El gusano se copia también en el raíz de la unidad C: varias veces, con nombres de archivos ya existentes allí, pero reemplazando la extensión actual por lo siguiente: "[2].PIF".

El gusano recoge direcciones de correo válidas de archivos existentes en lugares como la carpeta de archivos temporales de Internet. Estas direcciones son copiadas al registro en la siguiente clave:

HKEY_CURRENT_CONFIG\System
Emails1 = dirección 1

HKEY_CURRENT_CONFIG\System
Emails1 = dirección 2

[etc...]

El gusano utiliza Microsoft Outlook y Outlook Express para enviarse como correo electrónico infectado, con varios asuntos y textos, combinados de las siguientes listas:

Asunto (uno de los siguientes):

'''*< Love Speaks it all >*'''
Co0o0o0o0oL
Fw:
Heeeeeeeeeeeeeeeey
Why Do We FOk?
WoW But not for NoW
Wussaaaaaaaap?

Uno de los siguientes textos como cuerpo del mensaje:

Ejemplo 1:

Hii
Try this great program allowing u to translate 100
languages . just write a passage in english and
chose a language to get the traslation one of my
friends used it with his arabian gf and it worked
successfully ;) so , Now we can say ' Love Speaks
it All ' :)

Ejemplo 2:

i thing the subject is enough to describe the
attached file ! check it out and replay your
opinion

Ejemplo 3:

i've got this surprise from a friend :)
it really deserves a few minutes of your time.
Bye

Ejemplo 4:

Should i email u first to email me?
hurry up !!!
u don't know how much ur emails mean to me.
i wish u like this email and plzz don't
forget me :)

Ejemplo 5:

coz i couldn't get the other part of it ,
any way , check it out having alil thing is
better than nothing :P

Ejemplo 6:

let me answer ,,,
hummmmmmmmm
Coz we Burn Our selves by watching **********
like the one i attached :P

Ejemplo 7:

You're gonna love it ;)
delete it after reading , Professor :P

Archivo adjunto: Hawawi.pif

Para propagarse a través de las redes de intercambio de archivos, el gusano crea las siguientes copias de si mismo en las carpetas compartidas correspondientes:

Aint_it_Funny.pif
Anal_Sex_Ass_fxxxing.pif
AniMaL_N_Burning_Ladies.pif
Asian_girls.pif
Beauty_VS_Your_FaCe.pif
Big_txxx_bxxxx_Pxxxies.pif
Black_babes.pif
Broke_ass.pif
Come_2_Cxx.pif
cute_Gays.pif
Endless_life.pif
Famous_PpL_N_Bad_Setuations.pif
FASS.mpeg
Gurls_Secrets.pif
HardCore_Amature_Naked_nude.pif
HaWaWi.pif
HaWawi_N_Hawaii.pif
Hearts_translator.pif
Hot_Show.pif
Hot_teen_Virgin.pif
How_to_improve_ur_love.pif
Leaders_Scandals.pif
LeSbian_Girls_Lesbo_gay.pif
Lo0o0o0o0oL.pif
Music_downloader.pif
Old_women_Sex.pif
Real_Magic.pif
SeXy_LaDies_Gettin_fxxxed.pif
Shakira_ass.pif
Shakiraz_Big_ass.pif
Short_vClip.pif
Show_clip_mpeg_movie.pif
SmtpMailer.dll
Sweet_but_smilly.pif
Sys32 .exe
Tears_of_Happiness.pif
Tedious_SeX.pif
Teenz_Rxxxr.pif
The_Truth_of_Love.pif
unfaithful_Gurls.pif
Wet_pxxxx_huge_cxxx_nice_dxxx.pif
Wet_pxxxxes.pif
White_AmeRica.pif
XxX_Mpegs_Downloader.pif
Young_teen_Having_Sex.pif

El gusano crea además los siguientes archivos con los atributos de ocultos (+H):

C:\Windows\System\SYS32 .EXE
C:\Windows\System\ICQMAPI.DLL
C:\Windows\System\SMTPMAILER.DLL
C:\Windows\System\REGADD.REG

Este último, contiene la siguiente modificación para el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
Advanced Hidden = dword:0

Los archivos SYS32 .EXE (hay un espacio antes de la extensión), ICQMAPI.DLL son componentes para la propagación por ICQ, y SMTPMAILER.DLL es el componente SMTP para la rutina de envío por correo.

En el directorio raíz de la unidad C, añade el archivo MSG.HTM con el siguiente texto:

MaDe iN HaWaWi
By ZaCker & MyLife
2003/03/03
We BeLieVe Dat Filling
Da HD With Data Will
Hurt The PC
Oops
We Could Deal With it
Hawa ;) Bye


Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Ioadqm

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_CONFIG
\System

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas similares a las siguientes:

Emails1
Emails2
Emails3

Etc.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS