VSantivirus No. 760 - Año 6 - Miércoles 7 de agosto de 2002
W32/HLLW.Kazmor.C. Utiliza ‘Morpheus’ para propagarse
http://www.vsantivirus.com/kazmor-c.htm
Nombre: W32/HLLW.Kazmor.C
Tipo: Gusano de Internet
Alias: WORM_SYTRO.C, Worm.P2P.Sytro.c, W32/Qtint.worm.c
Fecha: 6/ago/02
Plataforma: Windows 32-bits
Tamaños: (varía de acuerdo al archivo)
Esta versión del Kazmor, utiliza para propagarse la red de archivos compartidos entre usuarios
Morpheus (algunas anteriores usaban KaZaa). Para ello se disfraza con numerosos nombres de archivos que simulan ser películas, juegos, pornografía o diferentes utilidades.
Cuando el usuario descarga y ejecuta uno de estos archivos infectados, el gusano realiza las siguientes acciones:
1. Se copia a si mismo en la carpeta de Windows:
C:\Windows\SYSCFG35.EXE
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto
C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).
2. Crea la siguiente entrada en el registro para ejecutarse automáticamente en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
syscfg35 = C:\Windows\SYSCFG35.EXE
3. Crea una carpeta 'SysConfig' en el directorio Windows, y en ella crea los siguientes archivos, todos copias de si mismo, pero con diferentes tamaños:
[DiVX] Harry Potter And The Sorcerors Stone Full Downloader.exe
[DiVX] Lord of The Rings Full Downloader.exe
Age of empires 2 crack.exe
AikaQuest3Hentai FullDownloader.exe
AIM Account Stealer Downloader.exe
Battle.net key generator (WORKS!!).exe
Borland Delphi 6 Key Generator.exe
Britney spears nude.exe
Cat Attacks Child Full Downloader.exe
CKY3 - Bam Margera World Industries Alien Workshop Full Downloader.exe
CloneCD + crack.exe
CloneCD all-versions key generator.exe
Crazy Taxi Full Downloader.exe
DivX codec v6.0.exe
DivX newest version.exe
DivX patch - Increases quality.exe
DivX pro key generator.exe
DivX.exe
DSL Modem Uncapper.exe
Duke Nukem Manhattan Project Full Downloader.exe
F1 Grand Pix 4 Full Downloader.exe
Gladiator FullDownloader.exe
Grand theft auto 3 CD1 crack.exe
GTA3 crack.exe
Hack into any computer!!.exe
Hacking Tool Collection.exe
Half-life ONLINE key generator.exe
Half-life WON key generator.exe
How To Hack Websites.exe
Industry Giant II Full Downloader.exe
Internet and Computer Speed Booster.exe
Jenna Jameson - Built For Speed Downloader.exe
KaZaA media desktop v2.0 UNOFFICIAL.exe
KaZaA spyware remover.exe
Key generator for all windows XP versions.exe
Key generator for over 1,000 applications (really!).exe
LordOfTheRings-FullDownloader.exe
Macromedia dreamweaver MX (crack).exe
Macromedia Flash 5.0 Full Downloader.exe
Macromedia key generator (all products).exe
Microsoft key generator, works for ALL microsoft products!!.exe
Microsoft Office XP (english) key generator.exe
Microsoft Office XP iso Full Downloader.exe
Microsoft Windows XP crack pack.exe
MoviezChannelsInstaler.exe
MSN Password Hacker and Stealer.exe
Nero Burning Rom 5.5.9.3 Full Downloader.exe
Norton antivirus 2002.exe
PS1 Boot Disc Full Dwonloader.exe
Quake 4 BETA.exe
ScaryMovie 2 Full Downloader.exe
Shakira FullDownloader.exe
SIMS FullDownloader.exe
Sony Play station boot disc - Downloader.exe
Spiderman FullDownloader.exe
Star Wars Episode 2 - Attack Of The Clones Full Downloader.exe
Star wars episode 2 downloader.exe
Star Wars II Movie Full Downloader.exe
StarWars2 - CloneAttack - FullDownloader.exe
The Neverending Story Part I Full Downloader.exe
The Sun Of All Fears Full Downloader.exe
Warcraft 3 battle.net serial generator.exe
Warcraft 3 ONLINE key generator.exe
Warcraft III Full Downloader.exe
Windows XP Full Downloader.exe
Windows XP key generator.exe
Windows XP serial generator.exe
Winrar + crack.exe
Winzip 8.0 + serial.exe
Xbox.info.exe
Zidane-ScreenInstaler.exe
ZoneAlarm Firewall Full Downloader.exe
4. Configura la carpeta creada (SysConfig) como una de las compartidas entre usuarios de la utilidad Morpheus. Para ello modifica el archivo de configuración de Morpheus
(GNUCONFIG.INI):
[Share]
Dir'X'=C:\WINDOWS\SysConfig, Recursive
'X' es cualquier carácter numérico.
Esto permite que cualquier otro usuario de Morpheus pueda descargar los archivos allí guardados a su propia computadora, donde al ejecutarlos se infectará, reiniciando el ciclo.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados y la carpeta 'C:\WINDOWS\SysConfig'
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
syscfg35
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Busque y modifique el archivo GNUCONFIG.INI, eliminando la línea que haga referencia a
C:\WINDOWS\SysConfig.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
