|
VSantivirus No. 742 - Año 6 - Viernes 19 de julio de 2002
W32/Holar. Usa KaZaa, redes domésticas y MSN Messenger
http://www.vsantivirus.com/holar.htm
Nombre: W32/Holar
Tipo: Gusano de Internet
Alias: W32/Holar@MM, I.worm.Holar@mm, WORM_LAVEHN.A, LAVEHN.A, Win32/Lavehn.A, W32/Lavehn-A
Tamaño: 54,784 bytes
Plataformas: Windows 32-bits
Este gusano se propaga a través de la red de usuarios KaZaa, redes locales y contactos del
MSN Messenger.
Programado en Visual Basic 6, el nombre del archivo siempre con extensión
.PIF, es aleatorio.
El mensaje hace uso de la vulnerabilidad llamada "Incorrect MIME Header vulnerability
(MS01-020)", lo que hace que el adjunto sea ejecutado con el simple acto de visualizar el mensaje o verlo en el panel de vista previa, si el sistema no tiene el parche correspondiente, haciéndose pasar por un archivo de audio (codificado como
"audio/x-wav", en formato MIME).
La vulnerabilidad afecta las versiones 5.01 y 5.5 de Outlook y Outlook Express que no tengan el parche respectivo.
Consta de 3 componentes, el ejecutable principal de 54,784
bytes, y dos archivos que son creados por éste: 'CmdServ.exe' de 17,408 bytes
e 'INDEX.HTM' de solo 138 bytes.
El mensaje no tiene texto, y el nombre del archivo principal usado como adjunto, es seleccionado al azar de aquellos que se encuentren en la carpeta
'C:\Mis documentos' del sistema infectado. El asunto posee el mismo nombre del adjunto sin extensión. Por ejemplo:
Asunto:
Nombre_de_archivo
Datos adjuntos:
Nombre_de_archivo.pif
El cuerpo principal del gusano es un archivo en formato
PE de 32 bits, y cuando gracias a la vulnerabilidad comentada, se ejecuta, realiza las siguientes acciones:
Se copia a si mismo y a sus componentes en la siguiente carpeta:
C:\Windows\System\Nombre_de_archivo.pif
C:\Windows\System\CmdServ.exe
C:\Windows\System\INDEX.HTM
Modifica el registro para autoejecutarse en próximos reinicios del sistema infectado:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
ZaCker = C:\Windows\System\Nombre_de_archivo.pif
MyLife = C:\Windows\System\CmdServ.exe
Este segundo archivo (CmdServ.exe) es un servidor Web que activa el archivo
INDEX.HTM, el cuál contiene una etiqueta IFRAME que se vincula a otro componente,
C:\Windows\System\WarIII.eml, que es una copia del propio gusano.
El servidor es utilizado para enviar los mensajes infectados a toda la lista de contactos del
MSN Messenger.
Dos claves son creadas por el gusano en el registro, y usadas como indicadoras de envío de los mensajes infectados (flags):
HKLM\Software\Microsoft\HolyWar
HKLM\Software\Microsoft\Windows\HolyWar
Sobre la infección a través del KaZaa
Fuente: Per Antivirus
La red compartida p2p (peer to peer) de KaZaa es muy famosa y popular, ya que permite descargar videos, música MP3, fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios, en forma simultánea. Para ello es necesario instalar en el sistema, su respectivo software propietario, el mismo que abre en la computadora del usuario el
puerto 1214, el cual permite acceder a los equipos, a través de las siguientes instrucciones:
telnet IP-víctima 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 40900
Accept-Ranges: bytes
Date: Fri, 12 Jul 2002 08:12:25 GMT
Server: KazaaClient Jul 18 2002 05:15:28
Connection: close
Last-Modified: Wed, 26 Jun 2002 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html
Para infectar esta red, el autor debe tener instalado el software propietario de
KaZaa, luego conectarse a este servicio y ejecutar el archivo infectado, con lo cual también infectará el equipo que esté usando, que asumimos sea ajeno (cabina pública, estación de trabajo de un centro laboral o de estudios, etc.)
Este gusano no tiene rutinas destructivas, siendo su objetivo saturar a los servidores, estaciones de trabajo y PC domésticas que logre infectar.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT
y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre las siguientes entradas:
ZaCker
MyLife
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
9. Actualice su Internet Explorer según se explica en el siguiente artículo:
Parche acumulativo para Internet Explorer (MS02-023)
http://www.vsantivirus.com/vulms02-023.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Modificaciones:
27/jul/02 - Alias: WORM_HOLAR.A, W32/Holar@MM
27/jul/02 - Alias: Holywar, HTML_HOLAR.A
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|