|
VSantivirus No. 853 - Año 7 - Jueves 7 de noviembre de 2002
W32/Oror-Fam. Una familia de destructivos gusanos
http://www.vsantivirus.com/oror-fam.htm
Nombre: W32/Oror-Fam
Tipo: Gusano de Internet
Alias: Roron, Roro, Oror, I-Worm.Roron, I-Worm.Roron.12, I-Worm.Roron.25, I-Worm.Roron.31, I-Worm.Roron.35, I-Worm.Roron.37, I-Worm.Roron.39, W32/Oror.b@MM, W32/Oror.c@MM, W32/Oror.d@MM, W32/Oror.e@MM, W32/Oror.f@MM
Tamaños: (varios, por ejemplo: 131,072 bytes, 139,264 bytes, 72,192 bytes, 131,072 bytes)
Plataforma: Windows 32-bits
Fecha: nov/02
Es una familia de gusanos, todos ellos muy similares (ver: "W32/Oror.B. Borra archivos y antivirus, usa IRC y KaZaa",
http://www.vsantivirus.com/oror-b.htm
y "W32/Oror. Borra antivirus y cortafuegos", http://www.vsantivirus.com/oror.htm).
Estos gusanos se propagan de numerosas formas, incluyendo el envío a través del correo electrónico, copiándose a través de recursos compartidos en redes, o a través del intercambio de archivos entre usuarios con KaZaa.
Es un archivo en formato PE EXE, de unos 120 Kb aproximadamente, escrito en Microsoft Visual C++, que cuando se ejecuta por primera vez, muestra un mensaje de error falso, relacionado con la utilidad WinZip:
WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed,
or the license information is missing or corrupted.
Please contact the program vendor or the web site
(www.WinZip.com)for additional information
[ OK ]
Algunos nombres de archivos que el gusano crea en las computadoras afectadas:
C:\Windows\System\rundll16.exe
C:\Windows\winfile.dll
El gusano crea también dos archivos de datos en la carpeta de Windows (C:\Windows por ejemplo), conteniendo información usada por el propio gusano durante su ejecución. Estos archivos suelen tener como nombre, todo o parte del nombre de la propia computadora infectada al derecho y al revés, además de algunos pocos caracteres más, y una de las siguientes opciones como parte final del nombre: 16.*, 32.* o 98.*.
Las extensiones de estos archivos puede ser cualquiera, como: .DEF, .VXD, .SYS, EXE.
Por ejemplo, si la computadora se llamara "angela", estos nombres podrían ser:
dosangela32.def
niwalegna98.sys
Si estos archivos son borrados mientras el gusano está activo en memoria, el mismo inmediatamente comenzará a borrar todos los archivos de la computadora infectada.
También lo puede hacer si la fecha actual es 9 o 19 de cada
mes.
También modifica el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadSystemProfile =
"[camino del gusano] powprof.dll, LoadCurrentUserProfile"
Si esta clave es borrada con el gusano activo, también se pueden borrar todos los archivos de todos los discos duros.
También modifica la asociación de archivos ejecutables (la extensióm .EXE), de modo que cada vez que un archivo .EXE (la mayoría de programas y utilidades) es ejecutado, primero se ejecuta el gusano y luego el archivo original:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = [camino del gusano] "%1" %*
Notemos que una simple llamada al antivirus o al editor del registro, vuelva a ejecutar al gusano incluso cuando se intenta limpiarlo. Esto hace más peligroso que al intentar borrar los archivos del gusano, éste vuelva a activarse, siendo borrados todos los archivos de la computadora infectada.
El gusano también se copia en el directorio "\Windows\System" y agrega una entrada a la sección "run" del archivo WIN.INI en "C:\Windows", de modo de ejecutarse también al reiniciarse Windows.
Se propaga a las unidades locales de disco, copiándose en numerosos directorios con nombres al azar. Durante este proceso, el gusano puede llegar a crear entradas adicionales en la rama "HKLM \Software \Microsoft \Windows \CurrentVersion \Run" del registro, de modo que todas ellas se ejecutarán al reiniciarse la computadora.
El gusano crea un "mutex" (especie de semáforo indicador) llamado
"RoRo", para evitar ejecutar múltiples copias del mismo en memoria.
También se propaga en redes locales, copiándose a si mismo en todas las unidades de discos compartidas, con nombres que simulan ser conocidos programas o utilidades, como por ejemplo:
Counter Strike 1.5 (Editor).exe
cRedit CarDs gEn v1.2.exe
DivX 5.4 Bundle.exe
DMX tHeMe (full).exe
Download Accelerator 5.5.exe
Dreamweaver_5.0_Patch.exe
Eminem Desktop.exe
GTA 3 Bonus Cars(part1).exe
GTA 3 Bonus Cars.exe
KaZaA Media Desktop v1.8.3.exe
KaZaA Media Desktop v2.0.8.exe
Madonna - My Life (Review).exe
Nero Burning Rom 5.6.0.3.exe
NFS 5 Bonus Cars.exe
Serials 2002 Update.exe
Serials 2K 7.2 (by SNTeam).exe
Serials2002_8.0(17.08.02).exe
Star Craft 2 Trailer.exe
Win XP key gen 2.1B.exe
WinAmp_3.2_Cool.exe
WinZip 8.2 (Cracked).exe
WinZip 8.2.exe
WWF!!_The_ROCK(sHOw).exe
Zip Password Recovery v4.5.exe
Puede construir muchos otros nombres, utilizando cadenas como las siguientes como parte del nombre (esta lista se encuentra en el código del gusano):
ACDSee
cRedit_CarDs_gEn
DMX tHeMe
EminemDesktop
Madonna Desktop
MeGa HACK
Zip Password Recovery
Durante este proceso, el gusano crea archivos
AUTORUN.INF con la etiqueta "OPEN=" haciendo referencia a los ejecutables del propio gusano, creados en toda la red y discos duros.
También libera un troyano de IRC con capacidad de acceso remoto a la computadora infectada, lo que habilita a un intruso tomar el control de ésta.
El troyano es un script copiado en la carpeta del mIRC, que puede tener nombres como los siguientes:
alias.ini
server.ini
notes.ini
popup.ini
El gusano también se propaga a través del correo electrónico. El contenido del mensaje es obtenido al azar también de una lista interna.
El asunto del mensaje puede tener alguno de los siguientes textos:
Blondes Forever
Blondinkii
Microsoft Bulgaria
sent you a Yahoo! Greeting
Vajno
Virus Alert
WinAmp Team
Yahoo! Games
Yahoo! Toolbar
El texto del propio mensaje, depende del formato seleccionado. Existen numerosos textos en búlgaro e inglés (donde [%s] representa el nombre del usuario), como por ejemplo:
Zdrasti..
Hey, kak varvi, neshto novo ima li :) Adski mi sa spi, daje
ei sq smqtam da si legna ama purvo shte si vzema edin dush :)) Skoro shti pratq onva deto obeshtah, za sq mojesh da hvarlish edno oko na [%s] - ako imash nqkvi predlojeniq, komentari ili kakvoto i da e pishi mi :)) Aide doskoro i umnata ~pPp
Ohoo!!
Zdravei, zdrasti, dai pari za pasti :)) Ko praish? Za teb neznam ama v momenta se chustvam mnoo qko i reshih da ti pisha :) Kolko ti e rekorda na minichkite? Toku shto na Expert razminirah za 2 minuti :))) Ei sq smqtam da si vzema nqkoi qk film i da gledam. Hodil li si na [%s] - Mnoo me kefi :)) Za drugo ne se seshtam tai che chao za sega :)) Ei dupe :)
Zdrasti :)) Nqma da povqrvash kakvo mi se sluchi neska :) Vidqh Slavi Trifonov i nqkvi mnoo qki madami s nego :))) Ko shi kaish a? Misleh da mu iskam avtograf ama me dosramq :(( Karai, drug pat ~pP. Begai na [%s] :) Malko e stranen, no ne e losh. Hmm, ti ko praish? Pishi mi :) Chao
Liubofta e kato Rai, no moje da boli kato Ad Zdr, izpratih na vsichki edna programka, mnoo qka, btw to imeto si pokazva. Subject-a e ot tam i ima i drugi mnogo qki misli. Moje da pokaje nai-podhodqshtiq partnior v liubofta :)) Ujasno e kak liubofta moje da ubie vsichko v teb.. Za shtastie ne vinagi e taka :) Inache nishto novo, karam q nqkak.. Sega trqbva da izlizq za malko tai che bye :))
ZzZz :)
Zdrasti, kak q karash :) az sam dobre, makar che naposledak imam malko problemi. Tvarde mnogo mi se strupa navednaj, udarih si rakata ei sq i mnogo me boli.. Kakvo da se pravi, takav e jivota.. Vchera namerih nqkav generator na kreditni karti i mai bachka, samo edin put go probvah ama stana, vij dali pri teb sha raboti i umnata :) Ai doskoro :)) Chao ti
Vajno!!
Ima nov opasen virus v neta! Razprostranqva se predimno po IRC i ICQ. Vnimavai da ne se zarazish, zashtoto iztriva Mp3-ki, Filmi i Dokumenti. Izpratih ti patch, koito shte te paziot zarazqvane. Iskah da napisha po-dulgo pismo, no nqmah vreme, sorka.. Naposledak imam adski mnogo rabota nalqvo nadqsno :)) Inache kak varvi? Chao i watch out :)))
Bla Bla :)
Hi, kak e :) ko si praikash? az si slusham muzichka - ATC i Mortal Kombat Soundtrack - Varhovni sa, napravo izbuhnah :))) Drapnah si gi ot neta s taq programka - ima 200 kubriliona klasacii :) Naposledak muzikata e edno ot malkoto mi udovolstviq P.S. Obezatelno si drapni ATC - Why oh why.mp3 :)) Chao, doskoro!!
HeY.. Buddz what'z up :) How are you? I'm fine, 10x!! My friend Nina is here and we are.. You know :) Lalala !! Be happy, don't worry ~pPp. Btw check this site - [%s], it's fresh :)) I'm a little drunk and i've gotta go now !! Wish me luck :)) Cya
ZzZz :)
Hi buddy, what's up :)) I've only wanted to remind you not to forget about our little, dirty secret :) And don't tell anybody :Ppp. Have you seen this site - [%s] c00l :) Leave this away, how are you? Send me sth cool, plzz:) bye! :)
BlaBla
Hey :) Wasupp ~Pp I wanted to write you a letter, but i didn't know what to talk about actually :) Have you ever done an IQ test, i've just scored 120 points :) I'm not sure if this is good or bad, who cares :) Have you visited [%s] :) Finally, how are you:) i'll be very happy if you send me 1,2 funny cards :)))) bye! :)
Be careful
There is a new, dangerous virus in the net. It's called Roro and it's using IRC to infect computers. The virus deletes movies, music and system files. To prevent from infecting, install McAfee Anti-Script 2002. It's a 30 - days demo.. So, how are you? Good, Bad? I'm oK. I wanted to write you a longer letter, but i didn't have enough time.. sorry. Bye yoOo ;)
YoOo :)) What a nice day, what a nice time :) What a nice world :)) Do you have Blade 2? I've just watched it twice, it's marvellous! lol ~pPp Do you have any ATC's mp3z? CooL :))) I've found them with this program, it's like Napster, but it's legal :)) P.S. Download ATC - Why oh why.mp3 !!! Bye ~~~~ppPpP ;)
Wow..
Hello :>> How are you? What're you doing :) Do you have Blade 2? I've just watched it twice, it's marvellous! You can't guess what I've found.. A working Credit Card generator :))) I purchased a bride from Russia yesterday :) LoL.. I gave a fake address of course :))) Promise me not to send it to anybody! Don't go too far and watch out :)) Bye..
Hi!!
Hey you!! Wasssssssuppppppp :)))) Where are you? What are you doing? I've just got high in the sky, my oh my :)) It's like I don't care about nothing man :)) sMiLe :oP~pPPPpp I send you a sexy, little thing :)) Everything is just an illusion.Believe me.. It's time to say goodbye now.. See you
El adjunto (el propio gusano), puede tener uno de estos nombres:
[TNT]GeN.exe
Blondes.exe
Blondies.exe
DMX tHeMe (full).exe
Eminem Desktop.exe
IE_0274_bg.exe
IE_0276_Setup.exe
IE50_032_Setup.exe
Iguana1.0_skin.exe
Love Zodiak.exe
mTV Charts.exe
Setup.exe
Sound Factory SFX.exe
Star Craft 2 Trailer.exe
Worm Guard.exe
WWF_The_ROCK(sHOw).exe
Yahoo!Autumn.exe
Yahoo!Chess.exe
Yahoo!Tomcats.exe
Yahoo!Toolbar.exe
El mensaje se aprovecha de una conocida vulnerabilidad del Outlook y Outlook Express, de modo que el gusano puede ejecutarse con solo leer el mensaje, o visualizarlo en el panel de vista previa.
El gusano cierra todas las ventanas que sean abiertas cuyo título contenga algunas de las siguientes cadenas:
black
panda
shield
scan
mcafee
labs
zone
alarm
agent
avp
msie
navap
mstask
webcheck
iomon
nai_vs_stat
Además, el gusano puede buscar todas las carpetas y subcarpetas cuyo nombre posea parte de las siguientes cadenas, borrándolas en caso de encontrarlas:
labs and zone
kaspers
mcafee
panda
avp
pc
cillin
black and ice
norton and virus
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.
Reparación manual
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Editar el registro
Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) =
[camino del gusano]
"%1" %*
6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador
([camino del gusano]) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):
(Predeterminado) =
"%1" %*
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre todas las entradas DIFERENTES a la siguiente en "LoadCurrentProfile":
LoadCurrentProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
9. Si no existe, cree una entrada exactamente igual a la anterior.
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
run=[nombre del gusano]
Debe quedar como:
[Windows]
run=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|