Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Navidad.E. Variante camuflada de viejo virus
 
VSantivirus No. 145 - Año 4 - Jueves 30 de noviembre de 2000
 VSantivirus No. 645 - Año 6 - Sábado 13 de abril de 2002

 W32/Navidad.E. Variante camuflada de viejo virus
http://www.vsantivirus.com/navidad-b.htm

Nombre: W32/Navidad (Emanuel)
Tipo: Gusano de Internet
Tamaño: 32,768 bytes (16,896 bytes)
Alias:
I-Worm/Navidad
W32/Emanuel
Troj_Emmanuel
W32.Navidad.16896
Emmanuel
Navidad.E
Navidad.B
TROJ_NAVIDAD.B 
TROJ_NAVIDAD.C 
TROJ_NAVIDAD.D 
TROJ_NAVIDAD.E 
Emanuel 
I-Worm.Navidad 
Navidad 
TROJ_EMMANUEL 
TROJ_NAVIDAD.A 
W32.Navidad 
W32/Navidad-B 
W32/Navidad.e@M 
W32/Navidad.f@M 
W32/Navidad.gen@M 
Win32/Navidad.Worm
Fuentes: NAI, Sophos, Panda, Trend Micro, Symantec

Actualización: 11/abr/02

Una variante de un viejo virus (Navidad o Emanuel), de origen sudamericano, ha sido detectado en las últimas horas.

Casi todos los antivirus fallan en su identificación (hasta ser actualizados) debido a que el ejecutable del virus ha sido levemente modificado.

Primero, ha sido comprimido con otra utilidad de compresión en un formato diferente, y a pesar de ser esencialmente el mismo gusano, la mayoría de los antivirus fallan a la hora de identificarlo como tal (las últimas actualizaciones ya lo reconocen).

También se le ha agregado a su código una versión no funcional del Magistr (la primera versión), que solo sirve para confundir al software antivirus.

Puede ser identificado visualmente por no tener asunto ni texto alguno, y contener un archivo adjunto de nombre "emmanuel".

Actualización: 11/ene/01

Han sido vistos en estos días, algunos mensajes enviados a múltiples recipientes con los siguientes detalles:

Asunto:
Fw: El mando a distancia

Texto:
Subject: Fwd: El mando a distancia

Diseñado especialmente para esposas,novias y amantes ,por 
Bill Gates de Microsoft.

Archivo adjunto: Emanuel.exe (16,9 Kb)

Aunque esta no es la forma de propagación normal del virus, el archivo adjunto corresponde al mismo, y de recibirlo, por ningún motivo deberá abrirlo (como no debería abrir NINGUN archivo adjunto no solicitado, sin importar quien se lo envía)

Descripción

Emanuel es una variante del virus W32/Navidad (ver "VSantivirus No. 122 - Año 4 - Martes 7 de noviembre de 2000, Virus: W32/Navidad. Gusano en forma de ejecutable, en español".

El gusano en esta versión, llega a nosotros en un mensaje con un adjunto llamado EMANUEL.EXE.

Si este adjunto es ejecutado (doble clic sobre él), se nos muestra una ventana con el texto:

Error
 ;)
 [ Aceptar ]

Luego, el gusano intentará leer los mensajes de la carpeta de recibidos, y se enviará a las direcciones de los remitentes allí conseguidos.

También se copiará a si mismo en la carpeta Windows\System con el nombre de WINTASK.EXE

Además cambiará el registro para correr en el inicio de Windows, y antes que cualquier otro programa (EXE) sea ejecutado.

También se agrega a la bandeja de sistema (systray), con el icono de una flor, característico del ICQ (pueden aparecer varias de estas flores).

Si se coloca el cursor del mouse sobre uno de estos iconos, aparece la leyenda:

Come on lets party!!!

Si el usuario pincha sobre este icono, se muestra una ventana con un gigantesco botón y este texto:

[ Nunca presionar este boton ]

Si el usuario pincha sobre él, el gusano muestra otra ventana:

Emmanuel.....
Emmanuel-God is with us!May god bless u.And Ash, Lk and LJ!!
[ Aceptar ]

Si el usuario no pulsa sobre el botón, pero intenta cerrar la ventana (desde la "X" de cierre), se muestra esta otra ventana:

Emmanuel.....
May GOd bless u;D
[ Aceptar ]

El trojan, crea las siguientes entradas en el registro:

HKCU\SOFTWARE\Emanuel 

HKU\.DEFAULT\SOFTWARE\Emanuel 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32BaseServiceMOD = C:\Windows\System\WINTASK.EXE

También crea una copia de si mismo, con el nombre WINTASK.EXE, y modifica el registro para que al ser llamado cualquier programa .EXE, se ejecute primero el trojan.

HKCR\exefile\shell\open\command
(Predeterminado) = "C:\Windows\System\WINTASK.EXE "%1"%*"

HKLM\Software\CLASSES\exefile\shell\open\command
(Predeterminado) = "C:\Windows\System\WINTASK.EXE "%1"%*"

Esto suprime la ejecución de los archivos .EXE. Otros archivos (como .COM), se ejecutan sin ser filtradas por el trojan. Esto obliga a Windows a mostrar un mensaje de error cada vez que un EXE es ejecutado. También, esto hará que una nueva instancia del trojan se copie en memoria.

Luego, el gusano comienza su rutina de envío masivo de mensajes. Utiliza para ello las funciones MAPI de Windows, y el Outlook. El gusano revisa todos los mensajes en la bandeja de entrada y los responde, adjuntando una copia de si mismo. Estas son las características del mensaje:

Asunto: RE:
Texto: <Ninguno>
Archivo adjunto: EMANUEL.EXE

Cómo sacar el virus W32/Navidad.B de su sistema

1) Pinche en Inicio, Programas, MS-DOS

2) En la ventana DOS que se abrirá, teclee:

REN REGEDIT.EXE REGEDIT.COM

Nota: Esto es porque la asociación en el registro con las extensiones .EXE han sido adulteradas por el virus, y REGEDIT.EXE (nombre original), no se ejecutaría. Al renombrarlo como .COM, el sistema operativo lo ejecutará igual. Este cambio puede ser vuelto a la normalidad luego como veremos en el punto 21).

3) Teclee EXIT y pulse Enter para salir.

4) Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER)

5) En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

6) En el panel de la derecha deberá aparecer (Predeterminado) bajo la columna "Nombre", y en la columna "Datos", debe existir algo como:

C:\WINDOWS\SYSTEM\WINTASK.EXE "%1" "%*"

7) Si existe esta entrada, pinche sobre el texto (Predeterminado) para abrir la ventana de edición.

8) En la ventana "Editar cadena", en "Información del valor", borre lo que aparece en el punto 6, y teclee lo siguiente (respete incluso las comillas, se aconseja usar "cortar y pegar"):

"%1" %*

9) Como en el punto 5, vaya a la siguiente entrada del registro:

HKEY_LOCAL_MACHINE
SOFTWARE
Classes
exefile
shell
open
command

10) En el panel de la derecha deberá aparecer (Predeterminado) bajo la columna "Nombre", y en la columna "Datos", debe existir algo como:

C:\WINDOWS\SYSTEM\WINTASK.EXE "%1" "%*"

11) Si existe esta entrada, pinche sobre el texto (Predeterminado) para abrir la ventana de edición.

12) En la ventana "Editar cadena", en "Información del valor", borre lo que aparece en el punto 6, y teclee lo siguiente (respete incluso las comillas, se aconseja usar "cortar y pegar"):

"%1" %*

13) Como en el punto 5, vaya a la siguiente entrada del registro:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

14) Pinche sobre la carpeta "RUN". En el panel de la izquierda debería ver algo como:

Win32BaseServiceMOD = C:\WINDOWS\SYSTEM\WINTASK.EXE

15) Pinche sobre el nombre "Win32BaseServiceMOD" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

16) Como en el punto 5, vaya a la siguiente entrada del registro:

HKEY_USERS
.DEFAULT
Software
Emanuel

17) Pinche sobre la carpeta "Emanuel" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

18) Como en el punto 5, vaya a la siguiente entrada del registro:

HKEY_CURRENT_USER
SOFTWARE
Emanuel

19) Pinche sobre la carpeta "Emanuel" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

20) Use "Registro", "Salir" para salir del editor y confirmar los cambios.

21) Pinche en Inicio, Programas, MS-DOS

22) En la ventana DOS que se abrirá, teclee:

REN REGEDIT.COM REGEDIT.EXE

23) Reinicie su PC (Inicio, Apagar el sistema, Reiniciar)


Borrar los archivos del gusano

1) Pinche en Inicio, Buscar, Archivos o carpetas.

2) Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

3) En la casilla "Nombre" escriba (o "corte y pegue") los siguientes nombres, separados por espacios:

WINTASK.EXE EMANUEL.EXE

4) Pinche en "Buscar ahora". Windows buscará todas las copias de estos archivos en la unidad C:

5) Si aparecen, márquelos

6) Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado

7) Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

8) Ejecute un antivirus al día para revisar su sistema.

También deberá borrar el mensaje recibido con el adjunto "EMANUEL.EXE", y borrar luego la carpeta de Mensajes eliminados.

Para poder ver las extensiones de los archivos (de lo contrario, tal vez veríamos el archivo EMANUEL.EXE (y cualquier otro .EXE), solo como EMANUEL, debemos ir a Inicio, Configuración, Opciones de carpetas en Windows 98, o en cualquier menú Ver de Windows 95 y Windows Me, en Opciones (u Opciones de carpetas), y en la opción Ver, DESMARCAR la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



Ver también:
 07/nov/00 - Virus: W32/Navidad. Gusano en forma de ejecutable, en español
11/ene/01 - W32/Navidad-B (Emanuel). Nueva versión del virus Navidad (II)


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS