Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Holar. Usa KaZaa, redes domésticas y MSN Messenger
 
VSantivirus No. 742 - Año 6 - Viernes 19 de julio de 2002

 W32/Holar. Usa KaZaa, redes domésticas y MSN Messenger
http://www.vsantivirus.com/holar.htm

Nombre: W32/Holar
Tipo: Gusano de Internet
Alias: W32/Holar@MM, I.worm.Holar@mm, WORM_LAVEHN.A, LAVEHN.A, Win32/Lavehn.A, W32/Lavehn-A
Tamaño: 54,784 bytes
Plataformas: Windows 32-bits

Este gusano se propaga a través de la red de usuarios KaZaa, redes locales y contactos del MSN Messenger.

Programado en Visual Basic 6, el nombre del archivo siempre con extensión .PIF, es aleatorio.

El mensaje hace uso de la vulnerabilidad llamada "Incorrect MIME Header vulnerability (MS01-020)", lo que hace que el adjunto sea ejecutado con el simple acto de visualizar el mensaje o verlo en el panel de vista previa, si el sistema no tiene el parche correspondiente, haciéndose pasar por un archivo de audio (codificado como "audio/x-wav", en formato MIME).

La vulnerabilidad afecta las versiones 5.01 y 5.5 de Outlook y Outlook Express que no tengan el parche respectivo.

Consta de 3 componentes, el ejecutable principal de 54,784 bytes, y dos archivos que son creados por éste: 'CmdServ.exe' de 17,408 bytes e 'INDEX.HTM' de solo 138 bytes.

El mensaje no tiene texto, y el nombre del archivo principal usado como adjunto, es seleccionado al azar de aquellos que se encuentren en la carpeta 'C:\Mis documentos' del sistema infectado. El asunto posee el mismo nombre del adjunto sin extensión. Por ejemplo:

Asunto: Nombre_de_archivo
 Datos adjuntos: Nombre_de_archivo.pif

El cuerpo principal del gusano es un archivo en formato PE de 32 bits, y cuando gracias a la vulnerabilidad comentada, se ejecuta, realiza las siguientes acciones:

Se copia a si mismo y a sus componentes en la siguiente carpeta:

C:\Windows\System\Nombre_de_archivo.pif
C:\Windows\System\CmdServ.exe
C:\Windows\System\INDEX.HTM

Modifica el registro para autoejecutarse en próximos reinicios del sistema infectado:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
ZaCker = C:\Windows\System\Nombre_de_archivo.pif
MyLife = C:\Windows\System\CmdServ.exe

Este segundo archivo (CmdServ.exe) es un servidor Web que activa el archivo INDEX.HTM, el cuál contiene una etiqueta IFRAME que se vincula a otro componente, C:\Windows\System\WarIII.eml, que es una copia del propio gusano.

El servidor es utilizado para enviar los mensajes infectados a toda la lista de contactos del MSN Messenger.

Dos claves son creadas por el gusano en el registro, y usadas como indicadoras de envío de los mensajes infectados (flags):

HKLM\Software\Microsoft\HolyWar
HKLM\Software\Microsoft\Windows\HolyWar


Sobre la infección a través del KaZaa
Fuente: Per Antivirus

La red compartida p2p (peer to peer) de KaZaa es muy famosa y popular, ya que permite descargar videos, música MP3, fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios, en forma simultánea. Para ello es necesario instalar en el sistema, su respectivo software propietario, el mismo que abre en la computadora del usuario el puerto 1214, el cual permite acceder a los equipos, a través de las siguientes instrucciones:

telnet IP-víctima 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 40900
Accept-Ranges: bytes
Date: Fri, 12 Jul 2002 08:12:25 GMT
Server: KazaaClient Jul 18 2002 05:15:28
Connection: close
Last-Modified: Wed, 26 Jun 2002 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html

Para infectar esta red, el autor debe tener instalado el software propietario de KaZaa, luego conectarse a este servicio y ejecutar el archivo infectado, con lo cual también infectará el equipo que esté usando, que asumimos sea ajeno (cabina pública, estación de trabajo de un centro laboral o de estudios, etc.) 

Este gusano no tiene rutinas destructivas, siendo su objetivo saturar a los servidores, estaciones de trabajo y PC domésticas que logre infectar.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre las siguientes entradas:

ZaCker
MyLife

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Actualice su Internet Explorer según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
27/jul/02 - Alias: WORM_HOLAR.A, W32/Holar@MM
27/jul/02 - Alias: Holywar, HTML_HOLAR.A



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS