VSantivirus No. 1488 Año 8, lunes 2 de agosto de 2004
W32/Wukill.B. Datos adjuntos: "MShelp.EXE"
http://www.vsantivirus.com/wukill-b.htm
Nombre: W32/Wukill.B
Tipo: Gusano de Internet
Alias: Wukill.B, W32.Wullik.B@mm, Win32/Wukill.B, Bloodhound.W32.VBWORM, W32/Wukill.worm, WORM_WUKILL.B
Fecha: 6/nov/03
Plataforma: Windows 32-bit
Tamaño: 49,152 bytes
Gusano escrito en Visual Basic, que se envía en forma masiva a través del correo electrónico, a todos los contactos de la libreta de direcciones de Windows. El mensaje contiene textos en chino, mostrados como caracteres extraños en una configuración de Windows en español (o en cualquier otro idioma que no sea chino).
Asunto: MS?DOS????
Datos adjuntos: MShelp.EXE
Texto del mensaje: (en chino)
Donde los caracteres "????" son chinos (o caracteres sin sentido si no se tiene instalado ese idioma).
Cuando se ejecuta, se copia a si mismo en ubicaciones y nombres, seleccionados al azar. Mientras el gusano se esté ejecutando en memoria, cualquier intento de visualizarlo en la carpeta en que se esté ejecutando con el Explorador de Windows será inútil, ya que el gusano se copia inmediatamente en otra carpeta, borrándose de la actual.
El gusano también crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), usando el siguiente nombre:
winfile.exe
Cuando se ejecuta por primera vez, se copia con alguno de los siguientes nombres en la carpeta de Windows:
c:\windows\mstray.exe
c:\windows\mstray1.exe
Si el sistema operativo es Windows NT, 2000 o XP, despliega una ventana de error falsa, con el siguiente texto:
Warning
This File Has Been Damage!
[ OK ]
El icono de los archivos es similar al de las carpetas de Windows, en un intento de engañar al usuario.
NOTA: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000).
Una vez en memoria, monitorea permanentemente la ventana activa. Cuando una ventana queda en primer plano, el gusano puede crear nuevas copias de si mismo, dependiendo del contenido de la barra del título de dicha ventana.
Si el título de una ventana activa se refiere a la ubicación actual del gusano, el mismo crea una nueva copia de si mismo en otro directorio seleccionado al azar, con un nombre también al azar. Luego ejecuta la nueva copia y finaliza la anterior. La nueva copia del gusano, a su vez borra el archivo en la carpeta anterior.
Por ejemplo, si el archivo actual es C:\WINDOWS\MSTRAY.EXE, y usted abre una ventana con el explorador de Windows en la carpeta C:\WINDOWS, el gusano se copia en C:\WINDOWS\TEMP\ con el nombre FGH.EXE. Luego, se ejecuta C:\WINDOWS\SYSTEM32\FGH.EXE y éste borra el archivo anterior: C:\WINDOWS\MSTRAY.EXE.
Si la barra del título de la ventana abierta indica una ubicación diferente, entonces el gusano se copia en esa ubicación con el mismo nombre de la carpeta y el atributo de oculto (+H).
Por ejemplo, si la ventana del Explorador de Windows indica C:\ARCHIVOS DE PROGRAMA, entonces el gusano se copia como C:\ARCHIVOS DE PROGRAMA\ARCHIVOS DE PROGRAMA.EXE. Este archivo tendrá los atributos de oculto.
Esta técnica también le permite copiarse a unidades y recursos compartidos en red, cada vez que se visualiza una carpeta de ésta en una ventana de Windows.
Si la barra de título no indica un camino, el gusano puede copiarse de la siguiente forma:
ABCwinfile.exe
ABCcomment.htt
ABCdesktop.ini
Donde ABC son los primeros tres caracteres de la barra de título de la ventana.
Por ejemplo, si el título de la ventana actual es "Mis documentos", entonces se crean los siguientes archivos:
Miswinfile.exe
Miscomment.htt
Misdesktop.ini
El .EXE es el propio gusano. El segundo archivo (.HTT), es una plantilla HTML, que incluye un código JavaScript detectado como "JS.Exception.Exploit". Este archivo es utilizado para ejecutar al primero en sistemas que son vulnerables a ese exploit.
También modifica el registro de Windows, agregando las siguientes entradas para autoejecutarse en próximos reinicios:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTimeXP = [nombre actual del gusano]
RavTimXP = [último nombre usado por el gusano]
Note que las entradas en el registro también serán modificadas de acuerdo a la ubicación y nombre actual del gusano.
Además, en cada ejecución, puede crear otra copia de sí mismo con un nombre aleatorio en la carpeta de Windows. En esos casos también actualiza la clave del registro con los datos correspondientes.
El gusano agrega además las siguientes entradas, la primera para guardar su propia configuración, la segunda para asegurarse de que aparezca el camino completo en la barra del título del explorador de Windows, y la última para que no se muestren las extensiones de los archivos:
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
RavTimXP
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\CabinetState
FullPath = 1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = 0
HideFileExt = 1
Luego, se envía a todos los contactos de la libreta de direcciones, en un mensaje como el descrito antes. En algunos casos, puede fallar en su intento.
Reparación manual
Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\mstray.exe
c:\windows\mstray1.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes posibles entradas:
RavTimeXP
RavTimXP
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Setup
5. Pinche en la carpeta "Setup" y en el panel de la derecha busque y borre la siguiente entrada:
RavTimXP
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
7. Pinche en la carpeta "Advanced" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "Hidden" a "1" y el de "HideFileExt" = "0" (Hexadecimal)
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\CabinetState
9. Pinche en la carpeta "CabinetState" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "FullPath" a "0" (Hexadecimal)
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|