VSantivirus No. 756 - Año 6 - Sábado 3 de agosto de 2002
Troj/Kamil. Usa el icono de una película hecha con Flash
http://www.vsantivirus.com/troj-kamil.htm
Nombre: Troj/Kamil
Tipo: Caballo de Troya
Alias: W32.Kamil, W32/Kamil, Bloodhound.W32.VBWORM
Fecha: 1/ago/02
Tamaño: 30,720 bytes
Plataformas: Windows 32-bits
Este troyano posee como característica principal, su capacidad de descargar y ejecutar el virus
W32/Blebla.J en la computadora infectada.
También mueve todos los archivos de las carpetas Windows y Desktop (esta última solo en las versiones de Windows en inglés) a una carpeta llamada
C:\Nur_Mohd_Kamil
Cuando el troyano se ejecuta, crea los siguientes archivos:
C:\Melhacker.vbs
C:\Nur_Mohd_Kamil.bat
C:\Windows\Nmksys32.vxd
C:\Windows\Nmk.htm
C:\Nur_Mohd_Kamil.reg
Melhacker.zip
Melhacker.vbs crea el archivo Melhacker.zip.
Nur_Mohd_Kamil.bat realiza las acciones que se describen más adelante.
Nmksys32.vxd es un archivo de texto.
Nmk.htm es un archivo HTML que solo despliega algunos mensajes.
Nur_Mohd_Kamil.reg contiene los valores que el troyano agrega o modifica en el registro de Windows.
Melhacker.zip contiene un ejecutable de DOS llamado Nmk.exe que no funciona por estar corrupto.
Luego de crear estos archivos, se generan los siguientes cambios en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RunIt = c:\windows\Nur_Mohd_Kamil.bat
Esto ejecuta el archivo 'Nur_Mohd_Kamil.bat' cuando Windows se reinicie.
Nur_Mohd_Kamil.bat hace lo siguiente al ejecutarse:
1. Muestra el siguiente mensaje:
Loading Nur_Mohammad_Kamil...Please wait...
2. Crea la carpeta C:\Nur_Mohd_Kamil
3. Mueve los archivos de C:\Windows\Desktop\*.* a
C:\Nur_Mohd_Kamil. Esto solo funciona en la versión en inglés de Windows.
4. Mueve los archivos de C:\Windows\*.* a
C:\Nur_Mohd_Kamil.
5. Mueve los archivos de C:\mydocu~1\*.* a
C:\Nur_Mohd_Kamil. Esto solo funciona en la versión en inglés de Windows.
6. Copia el archivo 'C:\Nur_Mohd_Kamil.bat' en 'C:\Windows\Startm~1\Progra~1\Startu~1\NMKLoad.bat' (solo en las versiones en inglés de Windows).
7. Copia 'C:\Nur_Mohd_Kamil.bat' en 'C:\Windows'.
8. Renombra los archivos de 'C:\Progra~1\Norton~1\Fileter.dat' como
'Nmk.sys'
9. Al final muestra el siguiente mensaje:
Nur_Mohammad_Kamil successfully update...Done
El troyano también intenta cambiar la página de inicio del Internet Explorer para descargar un archivo llamado 'Setupmvm.exe'
desde el sitio http://melhacker.netfirms.com/. Este archivo es el gusano
'W32/Blebla.J'.
El troyano se muestra con un icono como el usado por las animaciones creadas con Flash, para intentar engañar al usuario para que lo ejecute, pensando se trata de una película.
Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Reparación manual
En caso de infección, la copia de los archivos del sistema a la carpeta creada por el troyano, impedirán el correcto funcionamiento de Windows, debiéndose reiniciar desde un disquete de inicio, y proceder a reinstalar el sistema operativo y los programas correspondientes.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
