|
VSantivirus No. 824 - Año 6 - Miércoles 9 de octubre de 2002
W32/Pakger.A (Tufas). Usa KaZaa y simula un antivirus
http://www.vsantivirus.com/pakger-a.htm
Nombre: W32/Pakger.A (Tufas)
Tipo: Gusano de Internet
Alias: WORM_PAKGER.A, PAKGER.A, Worm/PackagerFX, W32.HLLW.Tufas, W32/Tufas, Tufas,
W32/Tufast.worm, Backdoor.IRC.Tufast, PackAger I-Worm, Win32.Pakfix
Fecha: 8/oct/02
Plataforma: Windows 32-bits
Tamaño: 235,520 bytes
Este gusano se propaga a través de la popular red KaZaa, y además intenta conectarse a un servidor de IRC (Internet Relay Chat).
Cuando el archivo (de 235,520 bytes y cualquier nombre) es descargado y ejecutado por la víctima, muestra una ventana de mensajes donde le hace creer al usuario que se trata de una utilidad del antivirus AVP (Kaspersky Antivirus), para remover un virus:
AVP-Antiviral Toolkit Pro
Drive to scan and clean PackAger I-Worm
AVP is NOT FREE/SHAREWARE
You have to register AVP for new benefits
This software will run once on this computer.
ready to scan..
[ Scan Now ]
Si se pulsa en el botón [ Scan Now ], se muestra un proceso similar al escaneado del sistema, que en realidad es falso. Luego despliega otro mensaje:
AVP-Antiviral Toolkit Pro
Rebooting now to finish the disinfection
Cuando el usuario cierra esta ventana pinchando con el cursor del mouse en la "X" de la misma (el teclado es bloqueado), el gusano se copia a si mismo en el sistema, en el directorio de Windows con un nombre al azar y también se realizan las modificaciones que se explican a continuación.
Entonces la computadora es reiniciada, ejecutándose el gusano en memoria.
Antes de ese primer reinicio, el gusano modifica el registro para crear su autoarranque:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre] = C:\Windows\[nombre].exe
Donde [nombre] es el nombre conque se copió el gusano (siempre varía), y 'C:\Windows' dependerá del sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME y XP, y como 'C:\WinNT en Windows NT/2000).
También agrega las siguientes entradas en el registro, para habilitar su propagación a través de la red del KaZaa:
HKEY_CURRENT_USER\Software\KAZAA\LocalContent
BehindProxy="1"
KaZaARegKey="[nombre]"
DisableSharing="0"
El gusano se propaga a través de la red KaZaa, la conocida utilidad que permite el intercambio de archivos entre usuarios (Peer-To-Peer), agregándose a la carpeta de archivos compartidos, tomando el nombre de cualquier archivo no ejecutable en dicha carpeta, pero con la extensión .EXE.
Por ejemplo, si existe un archivo MI_CANCION.MP3, se copia como
MI_CANCION.EXE
El gusano intenta también conectarse a un servidor IRC, posiblemente para informar al autor que el usuario infectado está en línea conectado a Internet.
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Tome nota de los archivos detectados como infectados y bórrelos
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
[nombre] =
C:\Windows\[nombre].exe
Donde [nombre] es el nombre del gusano obtenido en el punto (3) de "Reparación manual".
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
5. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre las siguientes entradas:
DisableSharing = "0"
BehindProxy = "1"
KaZaARegKey = "[nombre]"
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
13/oct/02 - Alias: W32.HLLW.Tufas, W32/Tufas, Tufas
16/oct/02 - Alias: W32/Tufast.worm, Backdoor.IRC.Tufast
16/oct/02 - Alias: PackAger I-Worm, Win32.Pakfix
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|