VSantivirus No. 1488 Año 8, lunes 2 de agosto de 2004
W32/Wukill.E. Se propaga en un mensaje en chino
http://www.vsantivirus.com/wukill-e.htm
Nombre: W32/Wukill.E
Tipo: Gusano de Internet
Alias: Wukill.E, Win32/Wukill.E, WORM_WUKILL.E, W32.Wullik@mm, W32.Wukill.worm
Fecha: 19/jul/04
Plataforma: Windows 32-bit
Tamaño: 53,248 bytes
Gusano escrito en Visual Basic, que se envía en forma masiva a través del correo electrónico.
El mensaje contiene textos en chino, mostrados como caracteres extraños en una configuración de Windows en español (o en cualquier otro idioma que no sea chino), y presenta estas características:
De: [dirección del usuario infectado]
Asunto: ?????
Texto del mensaje: (en chino)
Datos adjuntos: [uno de los siguientes]
document.exe
explorer.exe
windows.exe
Donde los caracteres "????" son chinos (o caracteres sin sentido si no se tiene instalado ese idioma).
Cuando se ejecuta por primera vez, se copia en la siguiente ubicación:
c:\windows\msdostray.com
El gusano también crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), usando el siguiente nombre:
explorer.exe
Luego modifica el registro para autoejecutarse en cada reinicio, agregando una de las siguientes entradas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KaV3000XP = c:\windows\msdostray.com
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTimeXP = c:\windows\msdostray.com
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KaV300XP = c:\windows\msdostray.com
NOTA: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000).
El gusano intenta ocultar los archivos con extensión .EXE, cambiando su icono por el icono asignado a las carpetas.
También modifica las siguientes claves del registro, para ocultar al usuario todos los archivos con atributos de oculto (+H) y de sistema (+S) y para asegurarse de que aparezca el camino completo en la barra del título del explorador de Windows:
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
HideFileExt = 1
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Explorer\CabinetState
FullPath = 1
Las direcciones a las que se envía, son obtenidas de archivos contenidos en carpetas del Outlook Express que contengan las siguientes cadenas en sus nombres:
Calendar
Contacts
Deleted Items
Drafts
Inbox
Journal
Notes
Offline
Outbox
Sent Items
Tasks
El gusano contiene el siguiente texto en su código:
Company Name: gy
Internal Name: wukill
Language: Chinese (PRC)
Original Filename: wukill.exe
Product Name: xgtray
Product Version: 1.0
Este gusano requiere la presencia de la librería MSVBVM60.DLL para ejecutarse.
Reparación manual
Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\msdostray.com
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes posibles entradas:
KaV3000XP
RavTimeXP
KaV300XP
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
5. Pinche en la carpeta "Advanced" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "Hidden" a "1" y el de "HideFileExt" = "0" (Hexadecimal)
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\CabinetState
7. Pinche en la carpeta "CabinetState" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "FullPath" a "0" (Hexadecimal)
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|