Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Kilonce. Peligroso gusano usa recursos compartidos
 
VSantivirus No. 783 - Año 6 - Viernes 30 de agosto de 2002

W32/Kilonce. Peligroso gusano usa recursos compartidos
http://www.vsantivirus.com/kilonce.htm

Nombre: W32/Kilonce
Tipo: Gusano de Internet
Alias: W32.HLLW.Kilonce, Win32.Kilonce, Win32/Killonce.Worm, W32/Kilone.a.worm, KilOnce, Worm.Win32.Kilonce, Killonce
Fecha: 27/ago/02
Tamaño: 39,310 bytes
Plataforma: Windows 32-bits


Este gusano, se propaga a través de recursos compartidos abiertos a Internet o a redes locales. Está basado en el W32/Nimda, pero carece de sus capacidades de envío a través del correo electrónico.

Al ejecutarse, el gusano intenta matar cualquier proceso en memoria cuyo nombre contenga los caracteres 'KV' o 'AV', o se llame 'LOAD.EXE', y luego borra los archivos asociados a esos procesos (conocidos antivirus).

También posee una rutina que se activa el 13 de diciembre de cualquier año, cuando borra todos los archivos y subdirectorios del disco C que tengan atributos de protección contra escritura deshabilitados (-R).

Además, en Windows NT, 2000 y XP, agrega a las posibilidades de acceso de los invitados, el grupo de administradores y crea accesos irrestrictos a las unidades C a K de la máquina comprometida en Windows 95, 98 y Me.

En las unidades compartidas, se copia a si mismo como RUNDLL32.EXE o REGEDIT.EXE.

La primera vez que se ejecuta, el gusano examina el nombre de la computadora, y si dicha computadora no se llama 'YWB', entonces realiza las acciones siguientes.

1. Crea una tarea que enumera y elimina todos los procesos con los caracteres 'KV' o 'AV' en su nombre, así como aquel que se llame 'LOAD.EXE'.

2. Elimina los archivos asociados a dichos procesos.

3. Se copia a si mismo en C:\Windows\Killonce.exe y en C:\Recycled\Killonce.exe.

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).

4. Modifica o crea las siguientes claves del registro:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = C:\Windows\Killonce.exe "%1 %*

HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Predeterminado) =
c:\recycled\killonce.exe C:\Windows\NotePad %1

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KillOnce = C:\Windows\Killonce.exe

Estos cambios harán que el gusano se ejecute al abrir cualquier archivo .EXE, al abrir el bloc de notas y al reiniciarse Windows.

5. Agrega la cuenta GUEST (invitado) al grupo de Administradores en Windows NT, 2000 y XP.

6. Elimina todas las restricciones para compartir recursos en las unidades de disco C a K, en Windows 95, 98 y Me.

7. Enumera los recursos disponibles en red para poder realizar las siguientes acciones:

  • Si encuentra un archivo RUNDLL32.EXE en la carpeta Windows de una máquina remota, intentará cambiar su nombre por RUN32.EXE y luego reemplazar el original por una copia de si mismo.
  • Si encuentra un archivo REGEDIT.EXE lo renombra como REGEDIT.EXE.SYS y se copia como REGEDIT.EXE.

8. Sobrescribe todos los archivos con extensiones .EML o .NWS, insertando una copia de si mismo codificado en formato base64.

9. Busca archivos con extensión .DOC y se copia a si mismo como RICHED20.DLL (Rich Text Edit Control).

10. Busca archivos con extensiones .HTM, y si los encuentra se copia a si mismo como SHDOCVW.DLL (Biblioteca del control y el objeto documento de Shell).

11. Si la fecha actual es 13 de diciembre, el gusano sobrescribe C:\AUTOEXEC.BAT con el código necesario para borrar todos los archivos borrables del disco C y todos sus subdirectorios.


Información importante

Debido a lo complicado que puede resultar algunas de las acciones sugeridas a continuación para la remoción manual del gusano, sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Copiar REGEDIT.EXE como REGEDIT.COM

Debido a que el gusano modifica el registro para que no se puedan ejecutar los archivos .EXE, se debe hacer una copia del editor del registro con la extensión .COM antes de ejecutarlo.

1. Pinche en 'Inicio', 'Ejecutar', escriba lo siguiente y pulse Enter:

command

Se abrirá una pantalla de MS-DOS

2. Escriba los siguientes comandos y pulse Enter al final de cada línea:

- En Windows 95, 98, Me y XP teclee:

cd\
cd Windows

- En Windows NT y 2000 teclee:

cd\
cd Winnt

En todos los sistemas, teclee luego:

copy REGEDIT.EXE.SYS regedit.com
start regedit.com


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT.COM y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

3. Pinche sobre la carpeta "command" y en el panel de la derecha pinche sobre "(Predeterminado)". En Información del valor, debe borrar el actual contenido (C:\Windows\Killonce.exe "%1 %*) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

4. Pinche en Aceptar

5. En el panel de la izquierda pinche en el signo '+' hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\txtfile
\shell
\open
\command

6. Pinche sobre la carpeta "command" y en el panel de la derecha pinche sobre "(Predeterminado)". En Información del valor, debe borrar el actual contenido (c:\recycled\killonce.exe C:\Windows\NotePad %1) y dejar solo esto:

C:\Windows\NotePad %1

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

KillOnce

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Administradores de redes

1. Remover la cuenta GUEST del grupo de administradores.


Recursos compartidos

Instalar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión de recursos compartidos con Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Reinstalación de programas y archivos

Reinstalar los programas y archivos eliminados por el gusano, que no pueden ser recuperados.

Recupere los siguientes archivos de Windows:

RUNDLL32.EXE
REGEDIT.EXE
RICHED20.DLL
SHDOCVW.DLL

Para ello, puede usarse el siguiente procedimiento:

VSantivirus No. 498 - 18/nov/01
Cómo recuperar archivos con SFC en Windows 98 y Me
http://www.vsantivirus.com/faq-sfc.htm

De cualquier modo, se sugiere reinstalar Windows, Office e Internet Explorer de ser necesario. Esto puede hacerse desde el propio Windows luego de la reparación manual sugerida, para no perder la configuración actual.

El mismo procedimiento de reinstalación, debería seguirse para los programas antivirus instalados.

Los archivos con extensiones .EML o .NWS infectados, deben ser borrados del sistema, así como toda aparición del archivo KILLONCE.EXE en el sistema.


Ejecutar antivirus

1. Actualice sus antivirus con las últimas definiciones

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Solo para usuarios avanzados

El propio gusano puede ser ejecutado con un parámetro que restituye los cambios en el registro. Sin embargo, esto no ha sido probado en todos los escenarios posibles, y podría acarrear riesgos agregados. Solo ejecute esta opción si usted posee cierta experiencia y puede controlar las acciones necesarias para la ejecución del archivo del gusano.

En caso afirmativo, ejecute el siguiente comando desde la carpeta Windows:

Killonce.exe -u


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
02/set/02 - Alias: Win32.Kilonce,
Win32/Killonce.Worm
02/set/02 - Alias: W32/Kilone.a.worm
30/nov/02 - Eliminación "KillOnce" en clave "Run" (antes omitido por error)
30/nov/02 - Alias: KilOnce, Worm.Win32.Kilonce, Killonce




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS