|
VSantivirus No. 680 - Año 6 - Sábado 18 de mayo de 2002
W32/Kazoa. Simula películas, juegos y música del Kazaa
http://www.vsantivirus.com/kazoa.htm
Nombre: W32/Kazoa
Tipo: Gusano de Internet (Kazaa)
Alias: Kazoa, Worm.Kazaa.Benjamin, Banjamin, Win32.Worm.Banjamin.A, Worm.Kazaa.Benjamion
Fecha: 17/may/02
Tamaño: 206,874 bytes (comprimido con ASPack)
Fuente: Panda
Reportado por primera vez por Panda Software el 17 de mayo de 2002, se trata de un gusano que intenta utilizar el popular programa de intercambio de archivos vía Internet, Kazaa.
Los nombres del ejecutable del gusano, son tomados de una extensa lista (3083 archivos) de conocidas películas, juegos de computadora y temas musicales, por ejemplo:
Age of Empires 2-Spiel-full-downloader.exe
Jurasik Park 3-divx-full-downloader.exe
South Park Vol. 1-divx-full-downloader.exe
Star wars Episode 1-Filme-full-downloader.exe
Kazaa es una popular aplicación que permite el intercambio de archivos de música, video, texto, imágenes, etc., de forma muy amigable, utilizando una tecnología conocida como P2P (person-to-person), o sea de computadora a computadora, entre usuarios que comparten el programa.
El señuelo utilizado por este nuevo virus para propagarse, consiste en engañar al usuario que pretende descargar ese tipo de archivos a través del Kazaa, haciéndose pasar por ellos.
En su código, posee una lista de 3083 temas, de modo que en cada infección, se muestra como un archivo diferente, todos con el gancho suficiente como para atrapar a un usuario ávido de este tipo de material.
Si el usuario descarga uno de estos archivos, al ejecutarlo se le presentará una ventana con un clásico mensaje de error (el icono de una X blanca en círculo rojo), pero en realidad el mensaje es falso, hace creer al usuario que posiblemente la descarga está incompleta o el archivo dañado, cuando en realidad, esto disimula las acciones del gusano.
Este es el mensaje presentado al intentar ejecutar uno de esos archivos (o sea al gusano propiamente dicho):
Error
Access error #03A:94574: Invalid pointer operation
File possibly corrupted
[ Aceptar ]
Mientras tanto, el gusano se ha copiado en la carpeta
System de Windows, con el nombre de EXPLORER.SCR.
También crea una entrada en el registro para ejecutarse en cada reinicio de Windows, y luego genera 3083 copias de si mismo con nombres como los vistos antes.
Estos archivos son ofrecidos a través de la mencionada herramienta Kazaa, de modo que aunque el gusano en si mismo no es potencialmente peligroso, si posee una gran capacidad de propagación, debido al popular uso del Kazaa, y al evidente "gancho" que significan los nombres que toma el virus.
Las acciones del gusano en un sistema infectado, son las siguientes:
1. Se copia a si mismo en la carpeta System de Windows, con el nombre de
EXPLORER.SCR:
C:\Windows\System\Explorer.scr
2. Crea 3083 copias de si mismo, con nombres de películas, juegos y temas musicales, en la siguiente carpeta:
C:\Windows\TEMP\sys32\
En todos los casos, en los archivos creados, a los
206,874 bytes del gusano propiamente dicho, se le agrega información basura que aumenta su tamaño y ayuda a engañar aún más al usuario.
3. Se crea la siguiente entrada en el registro, de modo de ejecutar el gusano en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System-Service = C:\Windows\System\Explorer.scr
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por el virus
4. Si fuera necesario, desde el Explorador de Windows, borre los siguientes archivos (si aparecen):
C:\Windows\System\Explorer.scr
C:\Windows\TEMP\sys32\
(borre la carpeta
"sys32" que cuelga de \TEMP\ completa)
5. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
System-Service = C:\Windows\System\Explorer.scr
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Modificaciones:
Alias: Banjamin, Win32.Worm.Banjamin.A, Worm.Kazaa.Benjamion
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|