Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Neysid.A. Cuatro adjuntos, uno de ellos DISNEY.SCR
 
VSantivirus No. 704 - Año 6 - Martes 11 de junio de 2002

W32/Neysid.A. Cuatro adjuntos, uno de ellos DISNEY.SCR
http://www.vsantivirus.com/neysid-a.htm

Nombre: W32/Neysid.A
Tipo: Gusano de Internet
Alias: WORM_NEYSID.A, NEYSID.A
Fecha: 9/jun/02
Plataforma: Windows
Tamaño: 19,456 bytes (UPX), 57,344 sin comprimir

Este gusano utiliza el Outlook y Outlook Express para enviarse masivamente a través del correo electrónico. También finaliza los procesos en memoria de algunos antivirus.

Envía copias de si mismo a todos los contactos de la libreta de direcciones de Windows (*.WAB). Construye sus mensajes a partir de asuntos y textos seleccionados de una lista. Agrega a los mensajes cuatro archivos, todos ellos copias del propio gusano. Los nombres de tres de estos archivos son seleccionados de una lista, y el cuarto se llama siempre DISNEY.SCR.

El código del gusano está escrito en Visual Basic 6, y comprimido con la utilidad UPX, y está basado en el código del W32/Alcarys.B (http://www.vsantivirus.com/alcarys-b.htm ).

Cuando se ejecuta, finaliza los siguientes procesos, pertenecientes a conocidos antivirus y aplicaciones de seguridad:

Pop3trap 
JavaScan 
Modem Booster 
vettray 
Timer 
CD-Rom Monitor 
F-STOPW version 5.06c 
PC-cillin 2000 : Virus Alert 
DAPDownloadManager 
Real-time Scan 
IOMON98 
AVP Monitor 
NAI_VS_STAT

También crea los siguientes archivos, todos copias de si mismo, en diferentes directorios de l;a unidad de disco C:

C:\WINDOWS.SCR 
C:\WINSTART.COM 
C:\WINDOWS.EXE 
C:\MOVIE.EXE 
C:\SCREENXX.SCR 
C:\FILE1980.COM 
C:\DISNEY.SCR 
C:\WINDOWS\REG.EXE 
C:\MSMSGS.EXE 
C:\PORNO.SCR 
C:\HACKTOOL.CO_ 
C:\WINDOWS\SCANREGW.EXE 
C:\WINDOWS\WINDOWS.EXE 
C:\WINDOWS\TUNEUP.EXE 
C:\WINDOWS\RUNDLL64.EXE 
C:\WINDOWS\SYSTEM\REGSVR32.EXE 
C:\RECYCLED\ALCO.COM 
C:\Program Files\KaZaA\My Shared Folder\PORNVIEW.EXE

Después de ello, el gusano genera los mensajes que envía a todos los contactos de la libreta de direcciones de Windows (Windows Address Book).

Para ello selecciona los asuntos para cada mensaje de la siguiente lista (todos los mensajes son diferentes):

"i've got cool stuffs here..."
"nice stuffs i got here..."
"check this out..."
"i want you to know how much i care for you..."
"hello! i'm your long, lost friend..."
"talk to me... tell me your name..."
"kindness is a virtue..."

El cuerpo del mensaje es seleccionado de esta lista:

".... hi, friend... here are some nice stuffs that i got from the internet... check it out..."

".... hmmmn... i guess you've forgotten me... but anyways, i wanna make up... here are the files that made me like the internet more... see for yourself..."

".... check this out..."

".... three files for you to keep... always remember that i'm into deep... i don't know you but i think i'm in love..."

".... sharing files is the essence of living... check this out..."

".... one of the files is a virus... can you tell me which one is it? hehehe, i'm only joking... your friend, paul.."

El gusano adjunta siempre cuatro archivos al mensaje, todos copias de si mismo. El primer adjunto toma uno de estos nombres:

amateur porn film.mpg
jenna jameson clip.mpg
lord of the rings clip.mpg
fuck of the month.mpg
britney exposed.mpg
chinese fuck.mpg

El nombre del segundo adjunto es seleccionado de esta lista:

kamasutra screensaver
donald and minnie sex.scr
baby dancing.scr
universe.scr
solarsystem.scr
shit.scr

El tercero, toma el nombre al azar de esta lista:

credit card hacktool
patch1981.com
http://www.meditation.com
hack mirc server
windows xp ultimate crack

El último, siempre tendrá el siguiente nombre:

disney.scr

Después de ejecutar la rutina de propagación, el gusano libera un documento de Word infectado, en el raíz de la unidad C:

C:\Porno.doc

Dicho documento está infectado con el virus de macros W97M/Alcarys.B (W97/Pacol.A). Dicho virus tiene una rutina destructiva que borra todos los archivos .DOC, .TXT, .WRI, y .PDF (ver http://www.vsantivirus.com/pacol-a.htm).

El gusano también crea un script de Visual Basic (.VBS) y un archivo de registro (.REG), en el directorio raíz.

El archivo V.VBS contiene el virus VBS/Alcarys.B, un simple script que espera hasta que un archivo ha sido descargado (ver http://www.vsantivirus.com/alcarys-b.htm) y lo ejecuta. El archivo .REG contiene las modificaciones al registro que cambian los niveles de seguridad de las aplicaciones Word y Excel de Microsoft.

Luego, el gusano agrega las siguientes entradas al registro, para autoejecutarse en cada futuro reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
*Rundll64 = "c:\windows\rundll64.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
*Regedit = "c:\windows\reg.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MSMSGS = "c:\msmsgs.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*Windows = "c:\windows\windows.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
*Windows Update = "C:\Program Files\Windows Update\file[x].EXE

Donde [x] es un número al azar.

También modifica el valor por defecto de las siguientes claves, para hacer que el gusano se ejecute cada vez que un determinado tipo de archivo es llamado:

HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
(Predeterminado) = "c:\windows\system\regsvr32.exe"

HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command
(Predeterminado) = "c:\windows\tuneup.exe"

HKEY_CLASSES_ROOT\mp3file\shell\open\command\
(Predeterminado) = "c:\windows\scanregw.exe"

HKEY_CLASSES_ROOT\mp3file\shell\play\command\
(Predeterminado) = "c:\windows\system\regsvr32.exe"

HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command\
(Predeterminado) = "c:\windows\scanregw.exe"

HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command\
(Predeterminado) = "c:\windows\tuneup.exe"

HKEY_CLASSES_ROOT\txtfile\shell\open\command\
(Predeterminado) = "c:\recycled\alco.com"

Luego de ello, cada vez que se intenta abrir un archivo de texto, un MP3, un JavaScript o un Visual Basic Script, el gusano se ejecuta antes.

Luego de su primer ejecución (cuando el usuario ejecuta cualquiera de los adjuntos infectados en los que llega a su computadora), el gusano despliega el siguiente mensaje:

Yet Another Multifaceted Creation
From The Booze Authority
You've Been Hit By, You've Been Struck By,
The Smooth Criminal... Again... AW!...

Para eliminar manualmente este gusano, siga estos pasos:

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices

3. Pinche sobre la carpeta "RunServices". En el panel de la derecha localice y borre la siguiente entrada:

*Rundll64

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche sobre la carpeta "Run". En el panel de la derecha localice y borre las siguientes entradas:

*Regedit
*Windows Update

6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche sobre la carpeta "Run". En el panel de la derecha localice y borre las siguientes entradas:

MSMSGS
*Windows

8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\VBSFile
\Shell
\Open
\Command

9. Pinche sobre la carpeta "Command". En el panel de la derecha haga doble clic sobre el valor "(Predeterminado)" para modificarlo. En Información del valor, debe borrar lo que haya y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1"  %*

10. Repita los pasos 8 y 9 para las siguientes entradas:

HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command
HKEY_CLASSES_ROOT\mp3file\shell\open\command
HKEY_CLASSES_ROOT\mp3file\shell\play\command
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command
HKEY_CLASSES_ROOT\txtfile\shell\open\command

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

12. En Windows 9x y Me, reinicie su computadora en modo MS-DOS (Inicio, Apagar el sistema, Reiniciar en modo MS-DOS). En Windows NT, 2000, y XP, simplemente reinicie el sistema por el procedimiento normal.

Una vez en modo MS-DOS, escriba cuidadosamente los siguientes comandos, uno por línea pulsando Enter al final de cada línea:

del c:\windows.scr
del c:\winstart.com
del c:\windows.exe
del c:\windows\windows.exe
del c:\windows\tuneup.exe
del c:\windows\rundll64.exe
del c:\movie.exe
del c:\screenxx.scr
del c:\disney.scr
del c:\windows\reg.exe
del c:\msmsgs.exe
del c:\porno.scr
del c:\hacktool.co_

Finalmente, ejecute un escaneo total de su sistema con uno o más antivirus actualizados


Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 597 - 24/feb/02
W32/Alcarys.B. Nueva variante con capacidad destructiva
http://www.vsantivirus.com/alcarys-b.htm

VSantivirus No. 565 - 24/ene/02
W97/Pacol.A. Borra archivos .DOC, .TXT, .WRI, y .PDF
http://www.vsantivirus.com/pacol-a.htm

VSantivirus No. 590 - 17/feb/02
W32/Alcarys. Varios adjuntos en un mismo mensaje
http://www.vsantivirus.com/alcarys.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS