VSantivirus No. 849 - Año 7 - Domingo 3 de noviembre de 2002
BAT/Junbo.A. Asunto: Hi!!!, adjunto: "casper~1.AVI.bat"
http://www.vsantivirus.com/junbo-a.htm
Nombre: BAT/Junbo.A
Tipo: Gusano de Internet (MS-DOS Batch)
Alias: JUNBO.A, BAT_JUNBO.A, IRC_JUNBO.A, VBS_JUNBO.A, REG_JUNBO.A
Fecha: 1/nov/02
Plataforma: Windows
Tamaño: 17,469 bytes
Capaz de enviarse en forma masiva a través del correo electrónico, y también a través de los canales de IRC y de la red KaZaa (P2P), este gusano puede borrar archivos de conocidos antivirus.
A través del e-mail, los mensajes infectados pueden tener estas características:
Asunto:
Hi!!!
Datos adjuntos:
casper~1.AVI.bat
Texto:
I'd like to show you a cartoon that i
downloaded.It's called casper. I've tried it and
it's a very funny show!I think you shoul watch
it.Oh,there's no viruses inside ;)
bye!!
El adjunto simula ser una animación (.AVI), pero en realidad es un archivo de proceso por lotes de MS-DOS (.BAT). En una configuración estándar de windows, la segunda extensión queda oculta.
Cuando el archivo BAT se ejecuta, el gusano crea los siguientes archivos:
C:\JUNKBOAT.BAT
C:\Windows\JUNKMAILER.VBS
C:\KAZAA.REG
C:\mIRC\SCRIPT.INI
C:\pirch98\EVENTS.INI
JUNKBOAT.BAT es una copia del propio gusano, siendo los demás los componentes para enviarse a través del correo electrónico (JUNKMAILER.VBS), habilitar la propagación vía KaZaa (KAZAA.REG) y a través de los canales vía mIRC (SCRIPT.INI) o pIRCh (EVENTS.INI).
La carpeta "Windows" corresponde a la ubicación de Windows de acuerdo a la versión instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).
También crea el directorio "C:\ ¥¤£¢¡¿¼½" (se muestra con extraños caracteres), donde se copia varias veces a si mismo con diferentes nombres:
AVP_patch.EXE.bat
casper~1.AVI.bat
hotmail_hacker.ZIP.bat
korn_here_to_stay.MP3.bat
mIrc_patch.EXE.bat
nav_patch.EXE.bat
nude_females.ZIP.bat
teenage_girls.ZIP.bat
trend_AV_patch.EXE.bat
website_defacer.ZIP.bat
El gusano agrega la siguiente línea al archivo
C:\Windows\WIN.INI bajo la etiqueta [Windows], para autoejecutarse en próximos reinicios del sistema:
[Windows]
load=c:\junkboat.bat
Luego se envía a toda la lista de contactos de la libreta de direcciones de Windows, en un mensaje con las características vistas antes.
Ejecuta luego el archivo KAZAA.REG para agregar las siguientes entradas al registro, que habilitan la carpeta
"c:\ ¥¤£¢¡¿¼½\" y su contenido, a los usuarios que comparten archivos a través de la red KaZaa:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing = "dword:00000000"
DownloadDir = "C:\Program Files\KaZaA\My Shared Folder"
Dir0 = "012345:c:\ ¥¤£¢¡¿¼½\ "
También se copian los archivos SCRIPT.INI o EVENT.INI (correspondientes a los clientes de chat mIRC y pIRCh respectivamente), para propagarse a través del IRC, enviándose con el nombre de
JUNKBOAT.BAT a todos los participantes de los diferentes chats compartidos por el usuario infectado.
El gusano borra luego de su ejecución, los siguientes archivos:
c:\autoexec.bat
c:\mirc\script.ini
c:\mirc32\script.ini
c:\pirch98\events.ini
c:\progra~1\mirc\script.ini
c:\progra~1\mirc32\script.ini
c:\programme\avpersonal\antivir.vdf
c:\programme\f-prot95\fpwm32.dll
c:\programme\mcafee\scan.dat
c:\programme\norton~1\s32integ.dll
c:\programme\tbav\tbav.dat
c:\tbav\tbav.dat
c:\tbavw95\tbscan.sig
Cada vez que el gusano se ejecuta, además de borrar archivos correspondientes a conocidos antivirus, intenta también eliminar los archivos AUTOEXEC.BAT, SCRIPT.INI o EVENTS.INI, reemplazándolos por sus propios componentes.
En el archivo AUTOEXEC.BAT borra todo su anterior contenido, agregando solo lo siguiente:
@echo off
echo 0000000000000000000000000
echo you are infected by bat.junkboat
echo ask yourself how you got this worm...
echo another bat worm form the labs of adious [rRlf]
echo greetz:philet0a$ter[rRlf],alcopaul[b8],irfan,all at undernet #virus
echo 0000000000000000000000000
Esto muestra en la pantalla DOS del arranque el siguiente texto:
0000000000000000000000000
you are infected by bat.junkboat
ask yourself how you got this worm...
another bat worm form the labs of adious [rRlf]
greetz:philet0a$ter[rRlf],alcopaul[b8],irfan,all at undernet #virus
0000000000000000000000000
El gusano también deshabilita el teclado y el ratón al ejecutarse, y luego que termina, los vuelve a activar.
Por último, el gusano es capaz de crear en el disco duro hasta 567 directorios con nombres al azar formados por hasta cuatro letras y números.
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Deshabilitar las entradas en el registro del KaZaa
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
3. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre la siguiente entrada:
DisableSharing = "dword:00000000"
DownloadDir = "C:\Program Files\KaZaA\My Shared Folder"
Dir0 = "012345:c:\ ¥¤£¢¡¿¼½\ "
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre las siguientes líneas:
echo 0000000000000000000000000
echo you are infected by bat.junkboat
echo ask yourself how you got this worm...
echo another bat worm form the labs of adious [rRlf]
echo greetz:philet0a$ter[rRlf],alcopaul[b8],irfan,all at undernet #virus
echo 0000000000000000000000000
4. Seleccione Archivo, Guardar, para grabar los cambios.
Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
load=c:\junkboat.bat
Debe quedar como:
[Windows]
load=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|