Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Reckus.A. Destructivo gusano de P2P
 
VSantivirus No. 1209 Año 7, Miércoles 29 de octubre de 2003

W32/Reckus.A. Destructivo gusano de P2P
http://www.vsantivirus.com/reckus-a.htm

Nombre: W32/Reckus.A
Tipo: Gusano de Internet (P2P)
Alias: W32.HLLW.Reckus, Worm.P2P.Delf.k, Win32/Delf
Fecha: 24/oct/03
Plataforma: Windows 32-bit
Tamaño: 59,904 bytes
Reportado por: Symantec

Gusano escrito en Borland Delphi y comprimido con la utilidad UPX, que se propaga a través de redes de intercambio de archivos entre usuarios, P2P (KaZaa, Morpheus, WinMX, etc.)

Cuando se ejecuta, sobrescribe los archivos NOTEPAD.EXE (bloc de notas) y REGEDIT.EXE (editor del registro), junto a otros archivos importantes del sistema. Además finaliza la ejecución de antivirus y cortafuegos.

Cuando un archivo infectado se ejecuta, el gusano se copia a si mismo en las siguientes ubicaciones (las carpetas son C:\WINDOWS y C:\WINDOWS\SYSTEM32, sin importar la versión del sistema operativo. Si no existen, las crea):

c:\windows\lol.exe
c:\windows\notepad.exe
c:\windows\regedit.exe
c:\windows\system32\progman.exe
c:\windows\system32\shutdown32.exe
c:\windows\system32\userinit.exe
c:\windows\system32\winsys32.exe

Los archivos existentes con el mismo nombre, son sobrescritos. En algunas versiones de Windows, estos archivos son vitales (por ejemplo, los mencionados en la carpeta SYSTEM32 en Windows XP y 2000).

También crea la carpeta SHARED:

c:\windows\system32\shared

En dicha carpeta y en las siguientes, se copia a si mismo con los nombres que se detallan más abajo, para propagarse a otros usuarios de las redes de intercambio de archivos P2P:

c:\program files\winmx\my shared folder
c:\my downloads

Alcohol 120 keygen.exe
Battlefield 1942 keygen.exe
BlackICE PC Protection 3.5 keygen.exe
BlindWrite crack (all versions).exe
Briana Banks (screensaver).exe
Britney spears DressUp Doll.exe
Britney Spears NUDE (screensaver).exe
Carmen Electra NUDE (screensaver).exe
DC++ ShareFaker.exe
Delphi 7 Enterprise keygen.exe
Dransik character editor.exe
Dransik classic account unlocker.exe
Everquest 2 NoCD crack.exe
GTA Vice City Universal NoCD patch.exe
Half-Life keygen.exe
Imesh No-Adverts.exe
Jedi Academy keygen.exe
KAV Personal Pro crack & keygen.exe
Kazaa AD-remover.exe
Kazaa Speedup 3.05.exe
KMD 2.1.exe
Krystal Steel (screensaver).exe
Lavasoft Ad-Aware 6 keygen.exe
Lavasoft Ad-aware 6 pro keygen.exe
Matrix Code Emulator Screensaver.exe
Microsoft Visual C++ keygen.exe
Mirc 6.03 serial generator.exe
MusicMatch JukeBox 8.0 keygen.exe
Nero Burning Rom (5.X + 6.X) keygen.exe
Norton Anti-Virus 2003 crack.exe
Norton Anti-Virus 2003 keygen.exe
Norton Anti-Virus 2004 crack.exe
Norton Anti-Virus 2004 keygen.exe
Norton Internet Security crack.exe
Office XP keygen.exe
Panda Anti-Virus Titanium keygen.exe
Playstation 2 emulator.exe
PopUp Killer crack (all versions).exe
Retina vulnerability scan keygen.exe
Runescape character editor.exe
Sophie Sweet (screensaver).exe
Tawny Roberts (screensaver).exe
Tiny Personal Firewall 5.0 crack.exe
UT 2003 keygen.exe
Vietcong keygen.exe
Visual Basic 6 keygen.exe
Visual Studio keygen.exe
Warcraft III Reign Of Chaos 1.0X Virtual Crack.exe
Window Washer 4.8 keygen.exe
Windows XP activation crack.exe
WinRAR keygen (all versions).exe
WinZip keygen (all versions).exe

Además crea otros archivos que no contienen código malicioso:

winbfkey.txt
winhelp.txt
winkey.txt
winutkey.txt

Modifica el registro de Windows para agregar la siguiente entrada, para autoejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSys32 = c:\windows\system32\winsys32.exe

Además crea un archivo SCRIPT.INI en las siguientes carpetas (si existen), sobrescribiendo cualquier otro existente con ese nombre:

c:\evolution
c:\mirc
c:\program files\finnishirc xp
c:\program files\gamers.irc
c:\program files\mirc
c:\program files\nonamescript
c:\scoop2003
c:\sentinel4

El script contiene los comandos para enviar mensajes a otros usuarios en los mismos canales de IRC visitados por la víctima infectada. Los mensajes contienen numerosos enlaces, algunos de ellos a páginas conteniendo código malicioso.

El gusano intentará también robar los CD keys de registro de varios juegos.

Además, intentará borrar los siguientes archivos de Windows (vitales en versiones como XP y 2000):

c:\windows\cmd.exe
c:\windows\system32\autochk.exe
c:\windows\system32\chkdsk.exe
c:\windows\system32\chkntfs.exe
c:\windows\system32\regedt32.exe
c:\windows\system32\regsvr32.exe
c:\windows\system32\shutdown.exe
c:\windows\system32\taskman.exe
c:\windows\system32\taskmgr.exe

Modifica la página de inicio del Internet Explorer por la de un sitio pornográfico.

Luego, entra en un bucle sin fin, y cada 10 segundos, el gusano finaliza cualquier proceso activo de antivirus y cortafuegos instalados en la máquina infectada.

En el mismo bucle, se vuelve a copiar a si mismo en la siguiente ubicación:

c:\windows\system32\winsys32.exe


IMPORTANTE

Si este gusano se ha ejecutado en un sistema, es posible que Windows deje de funcionar y sea imposible reiniciarlo para su restauración. El daño varía según el sistema operativo instalado y la ubicación del mismo (C:\WINDOWS, C:\WINDOWS\SYSTEM32\). Por ejemplo, Windows 95, 98 y Me, podrían ejecutarse, pero sería necesario restaurar algunos archivos. Windows XP y 2000 en cambio, podrían dejar de funcionar.

Para proceder a restaurar el sistema, se deberá reinstalar Windows. Sin embargo, el gusano podría volver a ejecutarse si no se elimina antes, cosa que será muy dificultosa si no se puede editar el registro (el gusano borra el editor del registro).

Por otra parte, mientras esté en ejecución, el gusano vuelve a copiarse a si mismo, por lo que es casi imposible borrarlo mientras no se detenga antes su ejecución.

Los procedimientos siguientes por lo tanto, se dan como referencia para su eliminación manual, pero se advierte que en muchos casos la solución definitiva puede pasar por el borrado de Windows y su reinstalación completa.


Referencias para la limpieza manual del sistema

1. Deshabilitar la herramienta "Restaurar sistema" (Me/XP)

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

2. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

3. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

4. Borre los archivos detectados como infectados

5. Recupere REGEDIT.EXE

En Windows 98:

5.a Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

5.b Marque "Extraer un archivo del disco de instalación"

5.c En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

REGEDIT.EXE

5.d Pinche en "Iniciar".

5.e En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

5.f En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

5.g Pinche en "Aceptar".

5.h Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

5.a Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

5.b Pinche en el botón "Extraer archivo"

5.c En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:

REGEDIT.EXE

5.d Pinche en "Iniciar".

5.e En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

5.f En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

5.g Pinche en "Aceptar".

5.h Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").

En Windows XP:

5.a Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

5.b Pinche en el botón "Expandir archivo"

5.c En "Archivo para restaurar" escriba el nombre del archivo a restaurar:

REGEDIT.EXE

5.d En "Restaurar desde" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

5.e En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

5.f Pinche en "Expandir".

6. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

WinSys

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

Nota: En Windows XP y Me, deberá revertir los cambios realizados en el siguiente artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Cambiar la página de inicio del Internet Explorer

1. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main

2. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada:

Start Page

3. Pinche en "Start Page" y modifique el valor "c:\windows\system32\news.htm" por el valor "about:blank".


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS