Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans

Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/P2P.Lolol.E. Se copia como "WINSYS.EXE"
 
VSantivirus No. 942 - Año 7 - Martes 4 de febrero de 2003

W32/P2P.Lolol.E. Se copia como "WINSYS.EXE"
http://www.vsantivirus.com/lolol-e.htm

Nombre: W32/P2P.Lolol.E
Tipo: Gusano de Internet (P2P)
Alias: W32/Lolol.E, I.worm.E.Lolol, Worm.P2P.Lolol.d, Win32/HLLW.Lolol.D, W32/Lolol-D, Win32/HLLW.Lolol.E
Fecha: 3/feb/03
Tamaño: 17,440 bytes (UPX), 60,448 bytes

Este gusano, variante del Lolol.A (http://www.vsantivirus.com/lolol.htm) se propaga a través de la red de intercambio de archivos entre usuarios (Peer-To-Peer), KaZaa.

Posee además, cualidades de troyano de acceso remoto (backdoor), que le permiten conectarse a un canal de IRC, desde donde puede recibir comandos directos de parte de un atacante.

El gusano es un ejecutable en formato PE (Portable Executable), escrito en Microsoft Visual C++.

Cuando se ejecuta un archivo infectado, el gusano se copia así mismo en la carpeta System de Windows:

C:\Windows\System\WINSYS.EXE

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Luego ingresa este camino en dos entradas del registro, ambas usadas para autoejecutarse en cada reinicio de la computadora:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Configuration Loader = winsys.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader = winsys.exe

El gusano se copia también en las siguientes carpetas:

C:\Archivos de programa\kaZaa lite\my shared folder\
C:\Archivos de programa\KaZaa\my shared folder\
C:\My Downloads\

Y utiliza los siguientes nombres de archivos:

100 free essays school.pif 
age of empires 2 cheats.exe 
age of empires 2 crack.exe 
age of empires 2 help.exe 
age of empires 2 keygen.exe 
age of empires 2 serial.pif 
age of empires 2 serials.pif 
age of empires 2.exe 
aim cracker.exe 
aim password cracker 
anarchist cookbook.pif 
aol cracker.exe 
aol password cracker.exe 
divx pro.exe 
driver.exe 
fireworks crack.exe 
fireworks serial.pif 
fireworks.exe 
fuck.exe 
GTA 3 Crack.exe 
GTA 3 Serial.exe 
gta3.exe 
hondra screen saver.scr 
HotGirls.exe 
hotmail hack.exe
how to hack.exe 
how to use a shell.pif 
NBA 2003 Crack.exe 
NBA 2003 serials.epif 
NBA 2003.exe 
pamela anderson screen saver.scr 
play station emulator crack.exe 
play station emulator.exe 
porn screen saver.scr 
steal usernames.exe 
super mario bros.exe 
super mario brothers.exe 
supra screen saver.scr 
ut 2k3.exe 
ut 2k3.pif 
virtua girl - adriana.pif 
virtua girl - ALL.pif 
virtua girl - bailey short skirt.pif 
virtua girl - bunny.pif 
virtua girl - business woman.pif 
virtua girl - chole.pif 
virtua girl - completely nude.pif 
virtua girl - courtney.pif 
virtua girl - hells angels.pif 
virtua girl - jammie williams.pif 
virtua girl - jenn.pif 
virtua girl - judith.pif 
virtua girl - mandy.pif 
virtua girl - melina black pepper.pif 
virtua girl - nikki taylor.pif 
virtua girl - nikki.pif 
virtua girl - Rebecca.pif 
virtua girl - tennis girl.pif 
virtua girl - vera.pif 
virtua girl - victoria.pif 
virtua girl - wet and wild.pif 
Virtua Girl (Full).exe 
Virtua Sex.exe 
virtual girl - adriana.pif 
virtual girl - ALL.pif 
virtual girl - bailey short skirt.pif 
virtual girl - bunny.pif 
virtual girl - business woman.pif 
virtual girl - chole.pif 
virtual girl - completely nude.pif 
virtual girl - courtney.pif 
virtual girl - hells angels.pif 
virtual girl - jammie williams.pif 
virtual girl - jenn.pif 
virtual girl - judith.pif 
virtual girl - mandy.pif 
virtual girl - melina black pepper.pif 
virtual girl - nikki taylor.pif 
virtual girl - nikki.pif 
virtual girl - Rebecca.pif 
virtual girl - tennis girl.pif 
virtual girl - vera.pif 
virtual girl - victoria.pif 
virtual girl - wet and wild.pif 
warcraft 3 crack.exe 
warcraft 3 serials.pif 
winxp.iso.pif 
worldbook.exe

El gusano, al igual que las otras versiones, puede propagarse a través del IRC, utilizando el popular programa cliente mIRC. También utiliza el IRC para la conexión del troyano incluido con el atacante. Para ello se conecta a los siguientes canales para recibir sus ordenes:

#Botchan1 
#botnet! 
#!#!#! 
#!chatz

Utiliza los siguientes nicks para logearse en dichos canales:

abc123 
eRiC iRc 
lolol

Utiliza los siguientes servidores de IRC:

irc.observers.net 
irc.seicher.net 
irc.aol-files.com 
us.undernet.org 
atlanta.ga.us.undernet.org 
irc.ef.net 
bawts.no-ip.com

El virus sobrescribe el archivo SCRIPT.INI en la carpeta "C:\mIRC" o "C:\Archivos de programa\mIRC", si estas existen, con el código necesario para enviarse a todos los participantes de un canal de chat, incluyendo su troyano de acceso remoto.

El troyano puede realizar algunas de estas acciones:

  • Enviar información del sistema infectado, como velocidad del CPU sistema operativo instalado, cantidad de memoria RAM, dirección IP y nombre del host actual.
  • Abrir una dirección URL en forma remota
  • Usar el sistema para enviar paquetes a otros hosts
  • Crear clones en determinados canales
  • Ejecutar o abrir archivos en forma remota
  • Usar el bot para descarga y actualización de su propio código
  • Desinstalarse el mismo del sistema


Otros detalles

Esta versión del gusano intentará evitar que el usuario ejecute ciertos programas en Windows 2000, Me y XP, agregando los siguientes valores al registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
RestrictRun = [programa]
DisallowRun = [programa]

Debido a un error en el código del gusano, el mismo falla al querer ejecutar esta parte de su rutina.


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Deshabilitar las carpetas compartidas de WinMX

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute WinMX.

2. Seleccione la lengüeta "Shared Files".

3. Pinche en "Unshare Folder" y seleccione cada una de las carpetas listadas, hasta quitarlas todas.

4. Pinche en "Aceptar", etc.


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Configuration Loader

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

Configuration Loader

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer

7. Pinche en la carpeta "Explorer" y en el panel de la derecha busque y borre todas las entradas que coincidan con estos nombres:

RestrictRun 
DisallowRun

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS