De: security@microsoft.com
Datos adjuntos: Q723523_W9X_WXP_x86_EN.exe

Texto:

[Logo de Microsoft]
All Products | All Updates | Support | Search | microsoft.com
Hello,
You should apply this fix which solves the newest
Internet Explorer Vulnerability described in MS05-023.
It is important that you apply
(c)2003 Microsoft Corporation. All rights reserved.

Posibles archivos adjuntos:

attachment.zip
document.doc.pif
document1.doc.pif
flt-ixb23.zip
flt-xb5.rar.pif
message.zip
probsolv.doc.pif
Q723523_W9X_WXP_x86_EN.exe
readit.doc.pif
sexinthecity.scr
sexy.jpg
torvil.pif
win$hitrulez.pif
yourwin.bat

Cuando el adjunto se ejecuta, una ventana con el siguiente mensaje, es mostrada:

torvild - Microsoft RPC-DCOM Fix 2
Press "Patch" to install the RPC-DCOM Fix2.
[ Patch ] [ Exit ]
                                 Copyright Microsoft (c)

Si se pulsa en el botón [Exit], el gusano se instala a si mismo y la ventana anterior se cierra.

Si se pulsa en el botón [Patch], se inicia la simulación de una instalación, seguida de otra ventana con el siguiente mensaje:

Patch
System successfully patched...
[ OK ]

Mientras, el gusano se copia a si mismo en el directorio de Windows, con un nombre seleccionado de los siguientes componentes:

Primera parte, una de las siguientes cadenas:

spool
smss

Segunda parte, dos caracteres al azar.

Tercera parte, la extensión .EXE.

Ejemplos: SPOOLTW.EXE, SPOOLYX.EXE, SMSSKW.EXE, etc.

Se crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Service Host = c:\windows\spool[dos letras al azar].exe

También se agregan las instrucciones para autoejecutarse en cada reinicio, en el archivo WIN.INI.

En Windows NT, 2000 y XP, las siguientes claves son creadas (en lugar de crear el WIN.INI:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe c:\windows\spool[dos letras al azar].exe

También se modifican las siguientes entradas, para ejecutarse como un servicio:

HKLM\SYSTEM\CurrentControlSet\Services\TORVIL
Description = Provides Local Access to the Registry
DisplayName = System Registry Service
ImagePath = [camino al gusano] xStartOurNiceServicesYes

Se crean las siguientes modificaciones para ejecutarse automáticamente cada vez que un archivo con las extensiones .BAT, .CMD, .COM, .EXE, .PIF, o .SCR, sea abierto:

HKCR\batfile\shell\open\command
(Predeterminado) = C:\WINNT\svchost.exe "%1" %*

HKCR\cmdfile\shell\open\command
(Predeterminado) = C:\WINNT\svchost.exe "%1" %*

HKCR\comfile\shell\open\command
(Predeterminado) = C:\WINNT\svchost.exe "%1" %*

HKCR\exefile\shell\open\command
(Predeterminado) = C:\WINNT\svchost.exe "%1" %*

HKCR\piffile\shell\open\command
(Predeterminado) = C:\WINNT\svchost.exe "%1" %*

HKCR\scrfile\shell\open\command
(Predeterminado) = C:\WINNT\svchost.exe "%1" /S

Otros cambios o agregados al registro, que ocultan a ciertos archivos del sistema, deshabilitan la edición del registro, etc.

HKU\.DEFAULT\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
"ShowSuperHidden"=0

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
"DisableRegistryTools"=1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\OneLevelDeeper

Se crean también los siguientes archivos en el directorio de Windows, los que son usados por el gusano para sus rutinas de propagación:

message.dat (85,478 bytes)
message.htm (86,297 bytes)

También crea el siguiente directorio oculto:

C:\Windows
\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}

Luego crea múltiples copias de si mismo en dicho directorio, aplicando las siguientes combinaciones:

Nombres generados al azar:

Four_A.htm
Four_B.htm
Four_C.htm
Five_A1.htm

Nombres de archivos basados en otros archivos presentes, son usados:

FEEDBACK.HTM
THANKYOU.HTM
192.168.149[1].htm

El virus contiene los siguientes nombres adicionales:

BearShare Pro 4.3.0
Borland C++ BuilderX 1.0 Enterprise Edition
Dragon NaturallySpeaking 8 ISO Multilanguage
Half Life 2
Half Life 2 beta patch2
Halo.exe
iMesh 4.2 Ad Remover.
Macromedia Contribute
Macromedia Studio MX 2004 AllApps
McAfee Personal Firewall Plus 2004
McAfee SpamKiller 2004
McAfee VirusScan Home Edition 2004
Microsoft Office System Professional V2003
Nero Burning ROM v6.0.0.19 Ultra Edition
NetObjects Fusion v7.5
NHL 2004
Norton Antispam 2004
Norton AntiVirus 2004
Norton SystemWorks 2004
Sophos AntiVirus v3.74
TVTool v8.31

Dichos nombres son complementados con una de las siguientes opciones:

Keygen.exe
Crack.exe

Ejemplo: "TVTool v8.31 Crack.exe"

Los archivos .HTM, contienen las copias del gusano, en un formato MIME encoded, para ser enviados como adjuntos en el correo. Lo sigue el código del exploit que automáticamente ejecuta al gusano cuando cualquier archivo es accedido por sistemas no actualizados.

Para propagarse por e-mail, busca las direcciones de los destinatarios, de archivos con las siguientes extensiones:

.abd
.dat
.dbx
.doc
.dot
.eml
.htm
.html
.inbox
.mai
.mbx
.mht
.mmf
.nch
.ods
.php
.pst
.rtf
.tbb
.wab

Utiliza funciones MAPI para obtener la información necesaria, y emplea su propio motor SMTP para enviarse.

El gusano intenta acceder a los siguientes recursos compartidos:

c$
d$
admin$
IPC$
print$

Las siguientes contraseñas son utilizadas para intentar acceder a los recursos remotos:

23523
54321
654321
5201314
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
abc
abcd
admin
alpha
asdf
asdfgh
computer
database
default
enable
god
guest
home
Internet
KKKKKKK
login
love
manager
mypass
mypc
oracle
pass
passwd
password
private
public
pw
pwd
qwe
qwer
root
secret
security
server
sql
super
sybase
temp
test
user
win95
win98
windows
winnt
winxp
xp
xxx
yxcv
zxcv

El gusano hace una llamada a una API llamada "NetScheduleJob API", para crear una tarea programada remota, ejecutándose a si mismo en dichos equipos.

También se copia a si mismo en las carpetas compartidas de los siguientes programas:

Xolo
KaZaa
eDonkey2000

El gusano sobrescribe el archivo de configuración del mIRC (NOMIRC), llamado MIRC.INI, para autoenviarse a todos los canales de IRC visitados por la víctima.

En su código, existe una larga lista de servidores de news, a los que el gusano suele enviarse:

alpha.webusenet.com
alt.destroy.microsoft
alt.news.microsoft
baldrick.blic.net
baracka.rz.uni-augsburg.de
bbsnews.ndhu.edu.tw
beech.fernuni-hagen.de
bias.ipc.uni-tuebingen.de
bossix.informatik.uni-kiel.de
butthead.cybertrails.com
cabale.usenet-fr.net
ccnews.thu.edu.tw
cdr.nord.net
corp.newsgroups.com
corp-binaries.newsgroups.com
davide.msoft.it
demonews.mindspring.com
dogwood.fernuni-hagen.de
dp-news.maxwell.syr.edu
etel.ru
forums.novell.com
freebsd.csie.nctu.edu.tw
frmug.org
ftp.tomica.ru
globo.edinfor.pt
grapevine.lcs.mit.edu
grieg.uol.com.br
htsrv.attack.ru
hub1.meganetnews.com
info.rgv.net
info.tsu.ru
info4.uni-rostock.de
infosun2.rus.uni-stuttgart.de
inx3.inx.net
isgnt5.netnow.net
lord.usenet-edu.net
microsoft.public.win32.programmer.gdi
msnews.microsoft.com
natasha.ncag.edu
netnews.de
news.abcs.com
news.ajou.ac.kr
news.aktrad.ru
news.aoc.gov
news.avcinc.com
news.avicenna.com
news.beta.kz
news.bsi.net.pl
news.caiwireless2.com
news.caravan.ru
news.caribsurf.com
news.cat.net.th
news.cdpa.nsysu.edu.tw
news.cell.ru
news.cofc.edu
news.coli.uni-sb.de
news.com2com.ru
news.comtel.ru
news.corvis.ru
news.cs.nthu.edu.tw
news.cs.tu-berlin.de
news.datast.net
news.deakin.edu.au
news.detnet.com
news.discom.net
news.dma.be
news.dna.affrc.go.jp
news.dsuper.net
news.emn.fr
news.enet.ru
news.freenet.de
news.fwi.com
news.fxalert.com
news.gamma.ru
news.gcip.net
news.gdbnet.ad.jp
news.globalpac.com
news.hanyang.ac.kr
news.htwm.de
news.ind.mh.se
news.inet.gr
news.informatik.uni-bremen.de
news.infotecs.ru
news.intel.com
news.invarnet.inwar.com.pl
news.isu.edu.tw
news.itcanada.com
news.jerseycape.net
news.kiev.sovam.com
news.konkuk.ac.kr
news.krs.ru
news.leivo.ru
news.lit.ru
news.louisa.net
news.lsumc.edu
news.lucky.net
news.man.torun.pl
news.math.cinvestav.mx
news.matnet.com
news.maxnet.ru
news.mc.ntu.edu.tw
news.mindvision.com.au
news.nchu.edu.tw
news.ncue.edu.tw
news.netcarrier.com
news.netdor.com
news.nsysu.edu.tw
news.odata.se
news.online.de
news.phoenixsoftware.com
news.portal.ru
news.primacom.net
news.ramlink.net
news.read.kpnqwest.net
news.readfreenews.net
news.reference.com
news.ripco.com
news.ruhr-uni-bochum.de
news.savvis.net
news.sexzilla.com
news.solaris.ru
news.spiceroad.ne.jp
news.srv.cquest.utoronto.ca
news.sti.com.br
news.tehnicom.net
news.teleglobe.net
news.telepassport.de
news.terra-link.com
news.tln.lib.mi.us
news.tohgoku.or.jp
news.triax.com
news.ttnet.net.tr
news.tu-ilmenau.de
news.udel.edu
news.uncensored-news.com
news.uni-duisburg.de
news.uni-erlangen.de
news.uni-hohenheim.de
news.uni-mannheim.de
news.uni-rostock.de
news.uni-stuttgart.de
news.unitel.co.kr
news.univ-nantes.fr
news.utb.edu
news01.uni-trier.de
news1.sinica.edu.tw
news2.new-york.net
news4.euro.net
news4.odn.ne.jp
news4.uncensored-news.com
news-archive2.icm.edu.pl
newscache0.freenet.de
newscache1.freenet.de
newscache2.freenet.de
newscache3.freenet.de
newscache4.freenet.de
newscache5.freenet.de
pubnews.gradwell.net
regulus.its.deakin.edu.au
service.symantec.com
snews.apol.com.tw
supern2.lnk.telstra.net
tabloid.uwaterloo.ca
www.usenet.pl

El gusano intentará además, finalizar cualquiera de los siguientes procesos que pudieran estar activos:

_avp32
_avpcc
_avpm
ackwin32
advxdwin
agentw
alertsvc
alogserv
alogserv
amon9x
anti-trojan
antivir
ants
apvxdwin
apvxdwin
atcon
atrack
atupdater
atwatch
autodown
auto-protect
autotrace
avconsol
ave32
avgcc32
avgctrl
avgserv
avgserv9
avgw
avkpop
avkserv
avkservice
avkwctl9
avp
avp32
avpm
avptc
avpupd
avsched32
avsynmgr
avwin95
avwinnt
avxmonitor9x
avxmonitornt
avxquar
avxquar
avxw
blackd
blackice
ccevtmgr
ccpwdsvc
ccsetmgr
cdp
cfgwiz
cfinet
claw95
claw95cf
cleaner
cleaner3
cmgrdian
connectionmonitor
cpd
cpdclnt
ctrl
defalert
defscangui
defwatch
doors
dvp95_0
dvp95
efpeadm
etrustcipe
evpn
expert
f-agnt95
fameh32
fch32
fih32
firewal
fnrb32
f-prot
f-prot95
fp-win
frw
fsaa
fsav32
fsgk32
fsm32
fsma32
fsmb32
f-stopw
gbmenu
gbpoll
gbpoll
generics
guard
guarddog
iamapp
iamserv
iamstats
icload95
icloadnt
icmon
icsupp95
icsuppnt
iface
iomon98
isrv95
jedi
ldnetmon
ldpromenu
ldscan
lockdown
lockdown2000
luall
lucom
luspt
mcagent
mcmnhdlr
mcshield
mctool
mcupdate
mcvsrte
mcvsshld
mgavrtcl
mgavrte
mghtml
minilog
monitor
moolive
mpfagent
mpfservice
mpftray
mwatch
n32scanw
nav
navap
navapsvc
navapw32
navengnavex15
navengnavex15
navlu32
navrunr
navw32
navwnt
ndd32
neowatchlog
netutils
nisserv
nisum
nmain
nod32
normist
notstart
nprotect
npscheck
npssvc
nresq32
nsched32
nschednt
nsplugin
ntrtscan
ntvdm
ntxconfig
nui
nupgrade
nvc95
nvsvc32
nwservice
nwtool16
padmin
pavproxy
pcciomon
pccmain
pccntmon
pccwin97
pccwin98
pcfwallicon
pcscan
persfw
perswf
pop3trap
poproxy
portmonitor
processmonitor
programauditor
pview95
rapapp
rav7
rav7win
realmon
rescue
rtvscn95
rulaunch
safeweb
savscan
sbserv
scan32
scrscan
smc
sphinx
spyxx
ss3edit
sweep95
sweepnet
sweepsrv
swnetsup
symproxysvc
symtray
taumon
tca
tcm
tds2-98
tds2-nt
tds-3
tfak
tmntsrv
vbcmserv
vbcons
vet32
vet95
vettray
vir-help
vpc32
vptray
vsched
vsecomr
vshwin32
vsmain
vsmon
vsstat
watchdog
webscanx
webtrap
wgfe95
wimmun32
wradmin
wrctrl
wrctrl
zapro
zonealarm

El gusano utiliza la siguiente lista de servidores DNS:

152.163.159.232
193.189.233.45
149.174.211.8
64.12.51.132
216.109.116.17
193.189.231.2

Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Preparación previa

Descargue el siguiente archivo (repara2.reg) (botón derecho, Guardar destino como):

http://www.videosoft.net.uy/repara2.reg


Finalizar el proceso en memoria del virus

Windows 95, 98 y Me

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Windows NT, 2000 y XP

1. Actualice sus antivirus con las últimas definiciones, luego pulse CTRL+ALT+SUPR para abrir el Administrador de tareas.

2. Pinche en la lengüeta Procesos.

3. En la lista de tareas, señale la siguiente y pulse el botón de finalizar tarea.

spool[dos letras al azar].exe

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Editar el registro

1. Haga doble clic sobre el archivo REPARA2.REG descargado antes (ver "Preparación previa"), para agregar su contenido al registro.

2. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER

3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Service Host

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

6. Pinche en la carpeta "Winlogon" y en el panel de la derecha cambie la siguiente entrada:

Shell = Explorer.exe c:\windows\spool[dos letras al azar].exe

Por lo siguiente:

Shell = Explorer.exe

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\TORVIL

8. Pinche en la carpeta "TORVIL" y bórrela.

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[Windows]
run = c:\windows\spool[dos letras al azar].exe

Debe quedar como:

[Windows]
run =

3. Grabe los cambios y salga del bloc de notas.


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm 


Actualizar Internet Explorer

Actualice su Internet Explorer según se explica en el siguiente artículo:

http://www.vsantivirus.com/vulms03-032.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

04/nov/03 - Alias: W32/Torvil-A, W32/Torvil-B




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com