|
VSantivirus No. 870 - Año 7 - Domingo 24 de noviembre de 2002
VSantivirus No. 871 - Año 7 - Lunes 25 de noviembre de 2002
W32/Winevar.A. Si detecta antivirus borra todo el disco
http://www.vsantivirus.com/seoul.htm
Nombre: W32/Winevar.A (Seoul)
Tipo: Virus y Caballo de Troya
Alias: W32/Korvar, W32/Seoul, Seoul, Trojan/Worm.Seoul, Trojan.Seoul/Win32.HLLM.Seoul, Troj/Seoul, I-Worm.Winevar, Winevar, HLLM.Seoul, WORM_WINEVAR.A, Win32/Winevar.A,
I-Worm.Winevar, W32.HLLW.Winevar, Win32/WineVar.A.Worm, Worm/Bride.C, W32/Brid.C, Win32.Braid.C, W32/Braid.c@MM, BRID.C, Win32/Braid.C.Worm, WORM_BRID.C, W32.Brid.C@mm, I-Worm.Bridex.c, W32.Brid.C@mm
Origen: Corea
Fecha: 21/nov/02
Plataforma: Windows 32-bits
Tamaño: 91,085 bytes
Detectado por primera vez en Corea el 21 de noviembre de 2002 y reportado por DialogueScience, Inc. (antivirus Dr. Web), fue catalogado por la compañía como de alta peligrosidad. Sin embargo, se han detectado pocos casos de infección en nuestros países (al 24/nov/02).
El código del virus (escrito en Microsoft Visual C++), tiene una mención a su origen (Republic of Korea), y una dedicación a AVAR (Association of anti Virus Asia Researchers), una organización que reúne a los desarrolladores de antivirus del continente asiático.
Se trata de un virus multi-componente, algunas de cuyas partes están encriptados.
Cuando se activa, el virus examina la memoria en busca de herramientas de análisis (Debug, etc.), monitoreo, cortafuegos y antivirus, y si encuentra alguno, "mata" sus procesos activos, finalizando su ejecución. Para esto, compara parte de los nombres de los procesos activos con la siguiente lista, presente en su código:
_np
anti
antivirus
avk
cicer
cillin
dbg
debu
explorewclass
fir
ice
iom
irmon
microsoft
mon
moniker
ms
nlab
office
pcc
program
prot
r n
scan
secu
smtpsvc
spy
vacc
view
vir
Luego de ello, el gusano muestra una ventana con el siguiente mensaje:
Make a fool of oneself
What a foolish thing you have done!
Esta advertencia (algo así como "Que tontería ha hecho usted"), es el preludio al borrado de todos los archivos del sistema en el disco duro, preservando solo las diferentes carpetas y los archivos que estén en uso en ese momento. De cualquier modo esto ocasiona la caída de Windows, y su imposibilidad de reinicio por los métodos normales.
Si no encontrara ninguno de los procesos en memoria mencionados, el virus no realiza el borrado de archivos (consecuentemente tampoco muestra la ventana de advertencia indicada). En cambio, procede a copiarse a si mismo en la siguiente ubicación:
C:\Windows\System\win[xxx].exe
Donde las [xxx] son caracteres al azar.
'C:\Windows\System' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).
El nombre del archivo comienza con las letras WIN, pero continúa con caracteres al azar, más la extensión
.EXE (en ocasiones puede ser .PIF).
Después de ello, el virus agrega el archivo mencionado al registro, en cada una de las siguientes claves, para de ese modo ejecutarse nuevamente en los siguientes reinicios de Windows:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
También cambia los datos de registración del Windows instalado, en alguna de las siguientes claves:
SOFTWARE\Microsoft\Windows NT\CurrentVersion
RegisteredOrganization = Trand Microsoft Inc.
RegisteredOwner = AntiVirus
SOFTWARE\Microsoft\Windows\CurrentVersion
RegisteredOrganization = Trand Microsoft Inc.
RegisteredOwner = AntiVirus
Al terminar, el virus permanece residente en memoria controlando la presencia de los programas mencionados antes. En caso de monitorearse cualquiera de ellos (antivirus, cortafuegos, etc.), procede a realizar la rutina destructiva ya descripta.
En el caso de no borrar los archivos del disco duro, el virus activa su rutina de envío masivo de mensajes infectados.
Las direcciones para enviarse las obtiene de los archivos cookies (archivos de texto con información utilizada por los diferentes sitios para facilitar la navegación del usuario). Para ello agrega cosas como
"webmaster@" a los dominios listados en los cookies, para enviarse.
También las extrae de archivos .HTM (páginas Web) y
.DBX (bases de mensajes), eludiendo aquellas direcciones que comienzen son
"microsoft@". Las direcciones recolectadas son guardadas en la siguiente clave del registro:
HKEY_CLASSES_ROOT\Software\Microsoft\DataFactory
El envío lo hace mediante una conexión directa al servidor SMTP del usuario infectado.
La estructura de dichos mensajes es la siguiente:
Asunto:
Re: AVAR(Association of Anti-Virus Asia Reseachers)
Texto del mensaje:
AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish.
Datos adjuntos:
WIN[xxx].TXT (12.6 KB) MUSIC_1.HTM
WIN[xxx].GIF (120 bytes) MUSIC_2.CEO
Donde las [xxx] son caracteres al azar.
A un usuario poco atento, podrían parecerle cuatro adjuntos, pero en realidad son dos con extensiones
.HTM y .CEO.
El intento de abrir el supuesto WIN[xxx].TXT (un aparente archivo de texto), en realidad ejecutaría un código en JavaScript dentro del archivo
.HTM, al visualizarse el mismo en el navegador asociado.
Este código modifica el registro para hacer que los archivos .CEO sean del tipo ejecutables.
HKEY_CLASS_ROOT\.CEO
Default = "exefile"
Content Type = "application/x-msdownload"
Si luego de ello, el usuario intentara abrir el supuesto archivo de imágenes
(WIN[xxx].GIF), se ejecutaría el archivo .CEO (la rutina destructiva del virus), dando como resultado la infección del sistema o el inmediato borrado de sus archivos, como se ha descripto antes.
Pero además, el virus hace uso de la conocida vulnerabilidad conocida como "Incorrect MIME Header vulnerability (MS01-020)", que afecta las versiones 5.01 y 5.5 de Outlook y Outlook Express, si el sistema no tiene el parche correspondiente.
MIME es un protocolo creado para el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje. Una manipulación de estas etiquetas le hacen creer al Explorer que se trata de un archivo de sonido o imagen, cuando en realidad se trata de un ejecutable.
Esto ejecuta el código del virus con solo verlo en el panel de vista previa, o al abrirlo para leerlo, sin necesidad de abrir y ejecutar deliberadamente el adjunto.
Más información en "Grave vulnerabilidad en extensiones MIME en Internet Explorer",
http://www.vsantivirus.com/vulms01-020.htm.
Si el virus no encuentra archivos cookies en el sistema y el sistema no está en ese momento conectado a Internet, el gusano realiza las mismas acciones que si hubiera encontrado algún software antivirus o de seguridad activo en memoria, o sea, comienza a borrar todos los archivos del disco duro. Además, la ventana con el texto "What foolish thing you've done" aparecería una gran cantidad de veces.
En este caso, se sugiere proceder a apagar inmediatamente la computadora (en lugar de ponerse a cerrar ventana tras ventana), ya que el daño sería mucho menor si se interrumpe el proceso de borrado. Por supuesto, un arranque desde disquete de inicio, limpieza de virus y posterior reinstalación de Windows, deberían realizarse. Sin embargo, al no haberse borrado todos los archivos, la probabilidad de recuperar el sistema tal cuál estaba, son mayores.
El gusano contiene una rutina (incompleta) que le permitiría propagarse a través de conexiones en red, copiándose como
EXPLORER.PIF en los recursos compartidos.
El gusano intenta conectarse al sitio de Symantec (http://www.symantec.com), en un posible intento de ocasionar un ataque de denegación de servicio, desde todas las máquinas
infectadas.
Si no hay una conexión a Internet activa (lo detecta al intentar
conectarse a www.symantec.com, entonces el gusano copiará en el sistema y luego ejecutará, una copia del gusano
W32/Funlove.4099 que Winevar ya trae en su propio código.
En el código del virus puede encontrarse este texto:
~~ Drone Of StarCraft~~
http://www.sex.com/
Herramienta para quitar el W32/Winevar.A
de un sistema infectado
La herramienta FixWEvar de Symantec, limpia el virus de un sistema infectado, además de restablecer los cambios realizados en la configuración del sistema.
Descargue FixWEvar.com del siguiente enlace y proceda a ejecutarlo en su
PC.
Descarga directa:
http://securityresponse.symantec.com/avcenter/FixWEvar.com
(139 Kb)
Más información:
http://securityresponse.symantec.com/avcenter/venc/data/pf/w32.hllw.winevar.removal.tool.html
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. En caso de haberse borrado todos los archivos del disco, una reinstalación completa sería necesaria.
Reparación de W32/Funlove
Para la reparación de la infección causada por el Funlove, siga estas instrucciones:
W32/Funlove.4099. No puede ser eliminado desde Windows
http://www.vsantivirus.com/funlove.htm
Asegúrese de ejecutar la herramienta "FLC_KILL9X.exe" como se indica allí.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
WIN[xxx] =
C:\Windows\System\WIN[xxx].EXE
Donde las [xxx] representan caracteres al azar.
4. Repita los pasos 2 y 3 para las siguientes entradas del registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\RunServices
HKEY_USERS\.DEFAULT\Software\Microsoft
\Windows\CurrentVersion\Run
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT\.ceo
6. Pinche en la carpeta ".ceo" y bórrela.
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT\Software\Microsoft\DataFactory
8. Pinche en la carpeta "DataFactory" y bórrela.
9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
SOFTWARE\Microsoft\Windows\CurrentVersion
10. Pinche en la carpeta "CurrentVersion" y en la ventana de la derecha busque los siguientes valores:
RegisteredOrganization = Trand Microsoft Inc.
RegisteredOwner = AntiVirus
11. Cambie el contenido de "RegisteredOrganization" y "RegisteredOwner", por el nombre de la compañía (o déjelo vacío) y del usuario registrado de Windows.
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Actualizar Internet Explorer
Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:
Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm
O instale el IE 6.0, Service Pack 1 (SP1):
Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Modificaciones:
25/nov/02 - Cambio del nombre y actualización de la descripción
25/nov/02 - Nuevos alias
26/nov/02 - Alias: W32.HLLW.Winevar, Win32/WineVar.A.Worm,
Worm/Bride.C
26/nov/02 - Alias: W32/Brid.C, Win32.Braid.C, W32/Braid.c@MM,
BRID.C
26/nov/02 - Alias: Win32/Braid.C.Worm, WORM_BRID.C,
W32.Brid.C@mm
26/nov/02 - Alias: Alias: I-Worm.Bridex.c, W32.Brid.C@mm
26/nov/02 - Información sobre el Funlove
28/nov/02 - Herramienta FixWEvar.com
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|