Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Loxar. Se propaga a través del KaZaa
 
VSantivirus No. 837 - Año 6 - Martes 22 de octubre de 2002

W32/Loxar. Se propaga a través del KaZaa
http://www.vsantivirus.com/loxar.htm

Nombre: W32/Loxar
Tipo: Gusano de Internet (P2P)
Alias: W32.HLLW.Loxar, Loxar
Fecha: 18/oct/02
Tamaño: 74,752 bytes
Plataforma: Windows 32-bits

Este gusano se propaga a través de la red Peer-To-Peer KaZaa, usada para compartir archivos entre usuarios, computadora a computadora.

Escrito en Delphi, está comprimido con la utilidad tElock. Al ejecutarse, se copia a si mismo al raíz de todos las unidades de disco y a la carpeta compartida del KaZaa, utilizando nombres seleccionados al azar de una lista propia.

Si la fecha actual es 13 de diciembre, con determinada configuración de fecha, el gusano intenta abrir el bloc de notas y mostrar un texto.

También intenta finalizar todos los procesos en memoria de una lista de conocidos antivirus y cortafuegos:

_Avpcc.exe
_Avpm.exe
Aplica32.exe
Avconsol.exe
Avp.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Esafe.exe
Frw.exe
Iamapp.exe
Iamserv.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsuppnt.exe
Lockdown2000.exe
Navapw32.exe
Navw32.exe
Pcfwallicon.exe
Safeweb.exe
Tds2-98.exe
Tds2-Nt.exe
Tds2-Xp.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Zapro.exe
Zonealarm.exe

Al copiarse al directorio raíz de todas las unidades de disco disponibles (de la C a la Z), el gusano utiliza un nombre seleccionado al azar de esta lista:

X3r0x.com
X3r0x.exe
X3rox.com
X3rox.exe
X3xox.exe
Xer0x.com
Xer0x.exe
Xerox.com
Xex0x.exe

Después, crea la siguiente clave en el registro, para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
xerox = C:\
[nombre del gusano]

También crea esta clave:

HKEY_LOCAL_MACHINE\SOFTWAR\Xerox
Xeroxlocation =
[ubicación original del gusano]

Si existe un disquete con los permisos de escritura habilitados, en la unidad A, el gusano se copia en su raíz (A:\), con el mismo nombre usado al copiarse al raíz de los discos duros.

Si la fecha de la configuración regional en su forma corta tiene el formato "dd/mm/aaaa", entonces el 13 de diciembre de los años 2002-2012 (Ej: 13/12/2002), el gusano ejecuta el bloc de notas (Notepad.exe) y despliega el siguiente texto:

SYSTEM OWNED BY "tHE xEROx wORM"

El gusano también examina todas las subcarpetas en la unidad C buscando el archivo "Kazaa.exe". Si lo encuentra, entonces se copia a si mismo en la carpeta compartida del KaZaa (por defecto "\My Shared Folder"), con uno de estos nombres:

9 naked girls.exe
Britney naked.exe
Buffy nude.exe
FULL SEX MOVIES.mpeg.exe
Gutter sluts.exe
Rapes video.mpeg.exe
Sex sex sex.exe
Teen blow jobs.exe
Teen sex.mpeg.exe
XXX.exe


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

xerox

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS