VSantivirus No. 704 - Año 6 - Martes 11 de junio de 2002
W32/Neysid.A. Cuatro adjuntos, uno de ellos DISNEY.SCR
http://www.vsantivirus.com/neysid-a.htm
Nombre: W32/Neysid.A
Tipo: Gusano de Internet
Alias: WORM_NEYSID.A, NEYSID.A
Fecha: 9/jun/02
Plataforma: Windows
Tamaño: 19,456 bytes (UPX), 57,344 sin comprimir
Este gusano utiliza el Outlook y Outlook Express para enviarse masivamente a través del correo electrónico. También finaliza los procesos en memoria de algunos antivirus.
Envía copias de si mismo a todos los contactos de la libreta de direcciones de Windows
(*.WAB). Construye sus mensajes a partir de asuntos y textos seleccionados de una lista. Agrega a los mensajes cuatro archivos, todos ellos copias del propio gusano. Los nombres de tres de estos archivos son seleccionados de una lista, y el cuarto se llama siempre
DISNEY.SCR.
El código del gusano está escrito en Visual Basic 6, y comprimido con la utilidad UPX, y está basado en el código del
W32/Alcarys.B (http://www.vsantivirus.com/alcarys-b.htm
).
Cuando se ejecuta, finaliza los siguientes procesos, pertenecientes a conocidos antivirus y aplicaciones de seguridad:
Pop3trap
JavaScan
Modem Booster
vettray
Timer
CD-Rom Monitor
F-STOPW version 5.06c
PC-cillin 2000 : Virus Alert
DAPDownloadManager
Real-time Scan
IOMON98
AVP Monitor
NAI_VS_STAT
También crea los siguientes archivos, todos copias de si mismo, en diferentes directorios de l;a unidad de disco C:
C:\WINDOWS.SCR
C:\WINSTART.COM
C:\WINDOWS.EXE
C:\MOVIE.EXE
C:\SCREENXX.SCR
C:\FILE1980.COM
C:\DISNEY.SCR
C:\WINDOWS\REG.EXE
C:\MSMSGS.EXE
C:\PORNO.SCR
C:\HACKTOOL.CO_
C:\WINDOWS\SCANREGW.EXE
C:\WINDOWS\WINDOWS.EXE
C:\WINDOWS\TUNEUP.EXE
C:\WINDOWS\RUNDLL64.EXE
C:\WINDOWS\SYSTEM\REGSVR32.EXE
C:\RECYCLED\ALCO.COM
C:\Program Files\KaZaA\My Shared Folder\PORNVIEW.EXE
Después de ello, el gusano genera los mensajes que envía a todos los contactos de la libreta de direcciones de Windows (Windows Address Book).
Para ello selecciona los asuntos para cada mensaje de la siguiente lista (todos los mensajes son diferentes):
"i've got cool stuffs here..."
"nice stuffs i got here..."
"check this out..."
"i want you to know how much i care for you..."
"hello! i'm your long, lost friend..."
"talk to me... tell me your name..."
"kindness is a virtue..."
El cuerpo del mensaje es seleccionado de esta lista:
".... hi, friend... here are some nice stuffs that i got from the internet... check it out..."
".... hmmmn... i guess you've forgotten me... but anyways, i wanna make up... here are the files that made me like the internet more... see for yourself..."
".... check this out..."
".... three files for you to keep... always remember that i'm into deep... i don't know you but i think i'm in love..."
".... sharing files is the essence of living... check this out..."
".... one of the files is a virus... can you tell me which one is it? hehehe, i'm only joking... your friend, paul.."
El gusano adjunta siempre cuatro archivos al mensaje, todos copias de si mismo. El primer adjunto toma uno de estos nombres:
amateur porn film.mpg
jenna jameson clip.mpg
lord of the rings clip.mpg
fuck of the month.mpg
britney exposed.mpg
chinese fuck.mpg
El nombre del segundo adjunto es seleccionado de esta lista:
kamasutra screensaver
donald and minnie sex.scr
baby dancing.scr
universe.scr
solarsystem.scr
shit.scr
El tercero, toma el nombre al azar de esta lista:
credit card hacktool
patch1981.com
http://www.meditation.com
hack mirc server
windows xp ultimate crack
El último, siempre tendrá el siguiente nombre:
disney.scr
Después de ejecutar la rutina de propagación, el gusano libera un documento de Word infectado, en el raíz de la unidad C:
C:\Porno.doc
Dicho documento está infectado con el virus de macros
W97M/Alcarys.B (W97/Pacol.A). Dicho virus tiene una rutina destructiva que borra todos los archivos
.DOC, .TXT, .WRI, y .PDF (ver http://www.vsantivirus.com/pacol-a.htm).
El gusano también crea un script de Visual Basic (.VBS) y un archivo de registro
(.REG), en el directorio raíz.
El archivo V.VBS contiene el virus VBS/Alcarys.B, un simple script que espera hasta que un archivo ha sido descargado
(ver http://www.vsantivirus.com/alcarys-b.htm) y lo ejecuta. El archivo
.REG contiene las modificaciones al registro que cambian los niveles de seguridad de las aplicaciones Word y Excel de Microsoft.
Luego, el gusano agrega las siguientes entradas al registro, para autoejecutarse en cada futuro reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
*Rundll64 = "c:\windows\rundll64.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
*Regedit = "c:\windows\reg.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MSMSGS = "c:\msmsgs.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*Windows = "c:\windows\windows.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
*Windows Update = "C:\Program Files\Windows Update\file[x].EXE
Donde [x] es un número al azar.
También modifica el valor por defecto de las siguientes claves, para hacer que el gusano se ejecute cada vez que un determinado tipo de archivo es llamado:
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
(Predeterminado) = "c:\windows\system\regsvr32.exe"
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command
(Predeterminado) = "c:\windows\tuneup.exe"
HKEY_CLASSES_ROOT\mp3file\shell\open\command\
(Predeterminado) = "c:\windows\scanregw.exe"
HKEY_CLASSES_ROOT\mp3file\shell\play\command\
(Predeterminado) = "c:\windows\system\regsvr32.exe"
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command\
(Predeterminado) = "c:\windows\scanregw.exe"
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command\
(Predeterminado) = "c:\windows\tuneup.exe"
HKEY_CLASSES_ROOT\txtfile\shell\open\command\
(Predeterminado) = "c:\recycled\alco.com"
Luego de ello, cada vez que se intenta abrir un archivo de texto, un
MP3, un JavaScript o un Visual Basic
Script, el gusano se ejecuta antes.
Luego de su primer ejecución (cuando el usuario ejecuta cualquiera de los adjuntos infectados en los que llega a su computadora), el gusano despliega el siguiente mensaje:
Yet Another Multifaceted Creation
From The Booze Authority
You've Been Hit By, You've Been Struck By,
The Smooth Criminal... Again... AW!...
Para eliminar manualmente este gusano, siga estos pasos:
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
3. Pinche sobre la carpeta "RunServices". En el panel de la derecha localice y borre la siguiente entrada:
*Rundll64
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche sobre la carpeta "Run". En el panel de la derecha localice y borre las siguientes entradas:
*Regedit
*Windows Update
6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche sobre la carpeta "Run". En el panel de la derecha localice y borre las siguientes entradas:
MSMSGS
*Windows
8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\VBSFile
\Shell
\Open
\Command
9. Pinche sobre la carpeta "Command". En el panel de la derecha haga doble clic sobre el valor
"(Predeterminado)" para modificarlo. En Información del valor, debe borrar lo que haya y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):
"%1" %*
10. Repita los pasos 8 y 9 para las siguientes entradas:
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command
HKEY_CLASSES_ROOT\mp3file\shell\open\command
HKEY_CLASSES_ROOT\mp3file\shell\play\command
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command
HKEY_CLASSES_ROOT\txtfile\shell\open\command
11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
12. En Windows 9x y Me, reinicie su computadora en modo MS-DOS (Inicio, Apagar el sistema, Reiniciar en modo MS-DOS). En Windows NT, 2000, y XP, simplemente reinicie el sistema por el procedimiento normal.
Una vez en modo MS-DOS, escriba cuidadosamente los siguientes comandos, uno por línea pulsando Enter al final de cada línea:
del c:\windows.scr
del c:\winstart.com
del c:\windows.exe
del c:\windows\windows.exe
del c:\windows\tuneup.exe
del c:\windows\rundll64.exe
del c:\movie.exe
del c:\screenxx.scr
del c:\disney.scr
del c:\windows\reg.exe
del c:\msmsgs.exe
del c:\porno.scr
del c:\hacktool.co_
Finalmente, ejecute un escaneo total de su sistema con uno o más antivirus actualizados
Medidas complementarias con los macros
En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla:
"Protección antivirus en macros" y "Confirmar conversiones al
abrir". En Word 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Referencias:
VSantivirus No. 597 - 24/feb/02
W32/Alcarys.B. Nueva variante con capacidad destructiva
http://www.vsantivirus.com/alcarys-b.htm
VSantivirus No. 565 - 24/ene/02
W97/Pacol.A. Borra archivos .DOC, .TXT, .WRI, y .PDF
http://www.vsantivirus.com/pacol-a.htm
VSantivirus No. 590 - 17/feb/02
W32/Alcarys. Varios adjuntos en un mismo mensaje
http://www.vsantivirus.com/alcarys.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
