VSantivirus No. 882 - Año 7 - Viernes 6 de diciembre de 2002
W32/Oror.K. Borra antivirus y cortafuegos
http://www.vsantivirus.com/oror-k.htm
Nombre: W32/Oror.K
Tipo: Gusano de Internet
Alias: W32/Oror-K, W32.HLLW.Oror.B@mm, W32/Oror-K,
mIRC/Oror-D, Win32.HLLM.RoRo.41, W32.Roro@mm
Fecha: 5/dic/02
Tamaño: 112 Kb
Plataforma: Windows 32-bits
Pertenece a una familia de gusanos, todos ellos muy similares (ver: "W32/Oror.B. Borra archivos y antivirus, usa IRC y KaZaa",
http://www.vsantivirus.com/oror-b.htm, "W32/Oror. Borra antivirus y cortafuegos",
http://www.vsantivirus.com/oror.htm
y "W32/Oror-Fam. Una familia de destructivos gusanos", http://www.vsantivirus.com/oror-fam.htm).
Se propaga copiándose a si mismo en las carpetas compartidas de una red local, y enviándose a direcciones recolectadas de mensajes en la bandeja de entrada de clientes de correo que utilicen MAPI, como el Outlook u Outlook Express. El gusano usa su propia máquina SMTP (Simple Mail Transfer Protocol).
El asunto, texto del mensaje y adjunto, varían al azar, y son seleccionados de una gran variedad de posibilidades.
Asunto (uno de los siguientes):
!
!!
..
:)
:>
:pPpP
;)
;))
~pPp
Bla Bla
Bla Bla
Blondes Forever
Boom
Ei dupe
Happy
Hello
HeY
Hey
Hey Ya
Hi
Hi Again
Hi There Zdrasti
HoWie
Ohoo
Pisamce
Privet
TinKi WinKy
Wow
Zdr Otnovo
ZzZz
Archivo anexado, uno de los siguientes:
[Tnt]gen.exe
Blondes.exe
Blondies.exe
Ie_0274_bg.exe
Iguana1.0_skin.exe
Yahoo!Autumn.exe
Yahoo!Chess.exe
Yahoo!Tomcats.exe
Ejemplos:
Asunto:
Blondes Forever
Datos adjuntos:
Blondes.exe
Texto del mensaje:
Hey, whatz up :)) Where are you? Don't you chat any more? I haven't seen you so long. Read this :))
What do blondes wear behind their ears to attract men? Their ankles!!
- Why did god invent the female orgasm? So blondes know when to stop screwing!!
- What is a blond with hair black colored? Artificial intelligence! Blondes forever!! :) Time off, i must go now, but i'll be very happy if you write to me soon :) Bye bye :)).
Ejemplo 2:
Texto del mensaje:
McAfee Antivirus warns about a new virus, called W32.Roro@mm.
It is a high risk worm and it's using IRC and internet pages to infect computers. The virus deletes movies, music and system files.
Due to the significant increase of infected users, Microsoft Corporation, with the collaboration of McAfee Antivirus, supports clients of Microsoft Windows with a patch, which fixes a bug in Internet Explorer 5.5 or minor versions. This bug allows internet pages
to grant access to local resources of visitors.
-----------------
McAfee Antivirus
www.McAfee.com
Se aprovecha de una conocida vulnerabilidad del Outlook y Outlook Express, de modo que el gusano puede ejecutarse con solo leer el mensaje, o visualizarlo en el panel de vista previa.
Cuando se ejecuta por primera vez, muestra una ventana de mensajes con el siguiente texto:
Error starting program
The file expects a newer version of Windows.
Upgrade your Windows version.
El gusano se copia a si mismo a la carpeta Windows, con un nombre que es la combinación de varias partes, incluyendo el nombre de la computadora, pero escrito de atrás para adelante.
Las partes son: "lib", "16.exe", "32.exe" o "98.exe
Por ejemplo, si la computadora se llamara "angela", estos nombres podrían ser:
libalegna98.exe
libalegna16.exe
También crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadSystemProfile =
"[camino del gusano] powprof.dll, LoadCurrentUserProfile"
Si esta clave es borrada con el gusano activo, también se pueden borrar todos los archivos de todos los discos duros.
También modifica la asociación de archivos ejecutables (la extensión .EXE), de modo que cada vez que un archivo
.EXE (la mayoría de programas y utilidades) es ejecutado, primero se ejecuta el gusano y luego el archivo original:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = [camino del gusano] "%1" %*
Notemos que una simple llamada al antivirus o al editor del registro, vuelve a ejecutar al gusano incluso cuando se intenta limpiarlo. Esto hace más peligroso que al intentar borrar los archivos del gusano, éste vuelva a activarse, siendo borrados todos los archivos de la computadora infectada.
HKLM\Software\CLASSES\exefile\shell\open\command
(Predeterminado) = [camino del gusano] "%1" %*
Cuando el gusano se copia por primera vez al sistema, lo hace al azar en cualquiera de los subdirectorios de la carpeta "C:\Archivos de programa", con el nombre de la carpeta elegida, pero agregándole al mismo una de las siguientes cadenas:
16.exe
32.exe
2k.exe
Ejemplo:
Si el directorio en que se copia se llama "C:\Archivos de
programa\Accesorios", el gusano se copia allí con el nombre de
"Accesorios16.exe", o "Accesorios32.exe", o
"Accesorios2k.exe".
El gusano agrega el camino a este ejecutable al registro, bajo la misma clave anterior:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
También modifica el archivo WIN.INI para ejecutarse en el reinicio de Windows:
[windows]
run = [nombre y camino del gusano]
Para propagarse a través de una red, se copia a las carpetas compartidas usando nombres al azar.
Durante este proceso, el gusano puede crear otras entradas en el registro bajo la clave "Run" de "HKEY_LOCAL_MACHINE".
El gusano se propaga también a través de la red de intercambio entre usuarios, KaZaa, copiándose a si mismo a cualquier carpeta compartida, usando alguno de los siguientes nombres de archivos (todos .EXE):
ACDSee
Actu002_
alice
amanda
Anal Explorer
baby_17
badboy
blue16
BoxDave_
Britney Suxx
BritneyUltimate
bryan16
candy_f
Chess
ClubExtreme
Counter Strike 1.5 (Editor)_
CrazyGirl
cRedit_CarDs_gEn|MeGa HACK
DivX 5.4 Bundle_
DMX tHeMe
Download Accelerator 5.5_
Dreamweaver_5.0_Patch_
dreamy
Elfbowl
EminemDesktop
Fishfood
Gipsy
Goggles
GTA 3 Bonus Cars(part1)_
happy
Hot Blondies
install_en_
Inter012_
jane17
jerry
Kama Sutra
KamaSutra
KaZaA Media Desktop v2.0.8_
LaFemmeNikita
linda17
Lolita
Madonna Desktop
neo
Nero Burning Rom 5.6.0.3_
NFS 5 Bonus Cars_
nicole
Pam Anderson Theme
Pamela 3D_
PcDudes
rap_girl
Serials 2K 7.2 (by SNTeam)_
Serials2002_8.0(17.08.02)_
SexSpy
Sexy Teens Desktop
snowball_fight_
sound_brake_
steve
Story017_
Strip Kournikova
Teen Sex Cam
trish1
tweety
VirtualRape
WinAmp_3.2_Cool_
WinZip 8.2_
WWF_The_ROCK
Zip Password Recovery
Finalmente, el gusano también libera un script de mIRC
(CONTROLS.INI), con los comandos para propagarse a través del IRC.
El gusano anulará todo proceso en ejecución cuyo nombre contenga algunas de estas cadenas:
mcafee
kaspers
avp
norton
cillin
virus
panda
zone
labs
black
ice
La mayoría de estos procesos corresponden a conocidos antivirus y cortafuegos.
También intentará borrar todos los accesos directos a estos antivirus, buscando en la carpeta
"C:\Windows\Menú Inicio\Programas" estas cadenas:
alarm
antivir
avp
black
f-prot
guard
iomon
labs
mcafee
nai_vs_stat
navap
panda
scan
secure
shield
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.
Reparación manual
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\exefile
\shell
\open
\command
5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) = [camino del gusano] "%1" %*
6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador ([camino del gusano]) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):
(Predeterminado) = "%1" %*
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre todas las entradas DIFERENTES a la siguiente en "LoadCurrentProfile":
LoadCurrentProfile =
Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
9. Si no existe, cree una entrada exactamente igual a la anterior.
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
run=[nombre del gusano]
Debe quedar como:
[Windows]
run=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Actualizar Internet Explorer
Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:
Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm
O instale el IE 6.0, Service Pack 1 (SP1):
Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|