Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Thyac. Se propaga vía KaZaa y correo electrónico
 
VSantivirus No. 813 - Año 6 - Domingo 29 de setiembre 2002

W32/Thyac. Se propaga vía KaZaa y correo electrónico
http://www.vsantivirus.com/thyac.htm

Nombre: W32/Thyac
Tipo: Gusano de Internet
Alias: W32/Thyac@MM
Fecha: 28/set/02
Plataforma: Windows 32-bits
Tamaño: 18,432 bytes (UPX)

Escrito en Visual Basic, este virus intenta propagarse a si mismo a través de mensajes enviados a todos los contactos recolectados de archivos temporales de Internet (mailto:, etc.). También utiliza la red de intercambio de archivos KaZaa.

El mensaje puede tomar la forma detallada a continuación, y posee siempre dos archivos adjuntos con nombres aleatorios, uno, el propio gusano con extensión .EXE (18 Kb) y otro con extensión .THEME o .BAT y de solo 21 bytes:

Asunto: RE:
Texto: files for you - from [nombre del remitente]
Datos adjuntos: dos archivos "uuencodeados"

UUENCODE es un protocolo de especificación de codificación de contenidos en mensajes SMTP.

Cuando el gusano se ejecuta en la computadora de la víctima, el mismo se copia en la siguiente ubicación:

C:\Windows\KN0X.EXE

En todos los casos, 'C:\Windows' puede variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME y XP, como 'C:\WinNT en Windows NT/2000).

También se muestra una ventana de error, con el siguiente texto:

  TacOny Worm
        (X)  (c)thynK - tac1
                [   OK   ]

Luego, es modificado el registro para que el gusano se ejecute en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinSrv = C:\WINDOWS\kn0x.exe

Examinando el registro, el gusano obtiene la siguiente información, necesaria para su rutina de envío a través del correo electrónico:

  • Nombre del servidor SMTP
  • Nombre desplegado del SMTP
  • Usuario
  • Dirección electrónica del SMTP

La lista de direcciones a las que se envía, es tomada de archivos almacenados en la carpeta de archivos temporales de Internet (por defecto: C:\WINDOWS\Archivos temporales de Internet).

Los contactos recolectados, son agregados a la lista que el gusano guarda en el archivo EMAIL.TXT.

El virus se copia también en el directorio actual, usando uno de los siguientes nombres, entre otros:

AVP_Update.exe
Edonkey_Fix.exe
Flock_Update.exe
I-Explorer7.0.exe
Kaza_Fix.exe
Kaza_Lite_Update_Fix.exe
McAffea_KeyGen.exe
Morpheus_Update_Fix.exe
Symantec_KeyGen.exe
WinXP_Crack.exe
ZoneAlarm_Crack.exe

También crea un archivo BAT de solo 21 bytes, conteniendo las siguientes líneas:

@echo off
ctty nul

Este archivo puede tomar varios nombres con extensión .BAT o .THEME, y será el segundo de los adjuntos.

El gusano se envía entonces a toda la lista de contactos guardada en el archivo EMAIL.TXT, en un mensaje con dos adjuntos, como ya describimos:

El gusano también busca la presencia de los siguientes directorios en la máquina infectada:

C:\Program Files\kazaa\My Shared Folder
C:\Kazaa\My Shared Folder

Si alguno de ellos existe, el virus se copia allí una gran cantidad de veces con diferentes nombres como estos:

All GamesHack.exe 
Credit Cards.exe
HotMailHack.exe 
HotMailHack.exe 
ICQ Password Hack.exe 
Macromedia Flash MX.exe 
Swat 3 Full Download.exe 
Tacony.exe 
Unreal Tournament 3 FullDownloader.exe 
WarCraft III Full.exe 
WIN XPCrack.exe

El gusano intenta descargar de un sitio web una utilidad de compresión, la que copia en la misma carpeta con el nombre de ZIPPY.EXE.


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WinSrv

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS