|
VSantivirus No. 752 - Año 6 - Martes 30 de julio de 2002
W32/Supova.F. Se propaga por KaZaa y MSN Messenger
http://www.vsantivirus.com/supova-f.htm
Nombre: W32/Supova.F
Tipo: Gusano de Internet
Alias: W32.Supova.Worm, W32.Kitty.Worm , W32/Supernova, W32/Kitty, WORM_SURNOVA.F, Worm.P2P.Surnova.f, W32/Supova, W32/Surnova-E, W32.Supova, Win32.Supova.F, Worm.P2P.Surnova, Win32/Supova.F.Worm
Fecha: 29/jul/02
Tamaño: 45,056 bytes
Este gusano, al ejecutarse permanece residente en memoria y genera numerosas copias de si mismo en la carpeta de archivos compartidos mediante la red
KaZaa o en la carpeta Windows\Media.
Puede propagarse tanto a través de los usuarios de KaZaa, la famosa red p2p (peer-to-peer) que permite intercambiar videos, MP3, imágenes, etc. en conexiones computadora a computadora, como a través del MSN Messenger, enviándose a su lista de contactos.
Al ejecutarse, el gusano crea una copia de si mismo usando uno de los siguientes nombres:
C:\Windows\Alles-ist-vorbei.exe
C:\Windows\Desktop-shooting.exe
C:\Windows\Hello-Kitty.exe
C:\Windows\BigMac.exe
C:\Windows\Cheese-Burger.exe
C:\Windows\Blaargh.exe
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto
C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).
También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Supernova =
[Nombre de una de las copias del gusano]
El gusano muestra al ejecutarse un mensaje de error para engañar al usuario, haciéndolo pensar que la supuesta utilidad descargada no funciona correctamente:
Application attempted to read memory at 0xFFFFFFFFh
Terminating application
El gusano examina en la clave HKLM\Software\KaZaA\LocalContent, la ubicación de la carpeta compartida de la red KaZaa.
Si no encuentra allí un valor, utiliza en su lugar la carpeta
C:\Windows\Media
En cualquiera de los dos casos (carpeta del KaZaa o carpeta Media), el gusano crea los siguientes archivos, todos copias del propio
gusano:
Age of empires 2 crack.exe
Battle.net key generator (WORKS!!).exe
Britney spears hard porn (REAL!).exe
Britney spears nude.exe
Christina Aguilera fuck (REAL!).exe
CloneCD + crack.exe
CloneCD all-versions key generator.exe
DivX codec v6.0.exe
DivX newest version.exe
DivX patch - Increases quality.exe
DivX pro key generator.exe
DivX.exe
Gamecube Emulator (WORKS!!).exe
Grand Prix 4 crack.exe
Grand theft auto 3 CD1 crack.exe
GTA3 crack.exe
Hack into any computer!!.exe
Half-life ONLINE key generator.exe
Half-life WON key generator.exe
KaZaA media desktop v2.0 UNOFFICIAL.exe
KaZaA spyware remover.exe
Key generator for all windows XP versions.exe
Key generator for over 1,000 applications (really!).exe
Kiddy child incest porn.exe
Macromedia Dreamweaver MX Key Generator.exe
Macromedia Flash MX Key Generator.exe
Macromedia MX key generator (all products).exe
Microsoft key generator, works for ALL microsoft products!!.exe
Microsoft Office XP (english) key generator.exe
Microsoft Office XP.iso.exe
Microsoft Windows XP crack pack.exe
Neverwinter nights crack.exe
Nokia simlock remover (includes new models).exe
Norton antivirus 2002.exe
Quake 4 BETA.exe
Star wars episode 2 downloader.exe
Warcraft 3 battle.net serial generator.exe
Warcraft 3 ONLINE key generator.exe
Windows XP key generator.exe
Windows XP serial generator.exe
Winrar + crack.exe
Winzip 8.0 + serial.exe
XBOX emulator (WORKS!!).exe
Xbox.info.exe
El gusano también examina si el MSN Messenger está activo, y en caso afirmativo, envía uno de los siguientes mensajes a la lista de contactos del usuario del programa:
Hehe, check this out :-)
Funny, check it out (h)
LOL!! See this :D
LOL!! Check this out :)
Si el gusano se ejecuta fuera de la carpeta Windows, un archivo de texto con nombre aleatorio (ejemplo
947388326.txt) se crea en el directorio Windows, conteniendo el siguiente mensaje:
W32.Supernova
---------------------------------------
'Patch the leaks or the ship will sink'
---------------------------------------
En ocasiones, el gusano también muestra el siguiente mensaje dependiendo de un contador interno:
Just checkin’ the walls
Patch the leaks or the ship will sink
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Supernova
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|