Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/P2P.Xerom. Se propaga por e-mail, chat y KaZaa
 
VSantivirus No. 871 - Año 7 - Lunes 25 de noviembre de 2002

W32/P2P.Xerom. Se propaga por e-mail, chat y KaZaa
http://www.vsantivirus.com/xerom.htm

Nombre: W32/P2P.Xerom
Tipo: Gusano de Internet (P2P)
Alias: Worm.P2P.Xerom
Fecha: 24/nov/02
Tamaño: 78 Kb (comprimido con Telock), 235 Kb
Plataforma: Windows 32-bits

Se trata de un gusano de Internet escrito en Delphi, que utiliza la red KaZaa para distribuirse. También usa los canales de chat, las redes locales, etc.

Es una aplicación PE EXE (Portable Executable) de Windows, comprimido con la herramienta Telock.

Cuando se instala, el gusano se copia a si mismo en el raíz de la unidad C: con un nombre al azar seleccionado de la siguiente lista:

x3r0x.com
x3r0x.exe
x3rox.com
x3rox.exe
x3xox.exe
xer0x.com
xer0x.exe
xerox.com
xex0x.exe

También modifica o crea la siguiente clave del registro, para autoejecutarse en los próximos reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
xerox = C:\[nombre al azar]

El gusano se copia también con un nombre al azar en el directorio de auto inicio de Windows.

En Windows en español esto es en alguna de las siguientes ubicaciones, dependiendo de la configuración del usuario (o multiusuario):

C:\WINDOWS\Menú Inicio\Programas\Inicio

C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio

C:\Documents and Settings\[usuario]\My Documents\Start Menu\Programs\Startup\

También se crea la siguiente clave en el registro:

HKLM\Software\xerox
xeroxlocation = [nombre del gusano]

El gusano intentará además, acabar con el proceso en memoria de cualquier antivirus o cortafuegos de la siguiente lista:

IAMAPP.EXE
IAMSERV.EXE
CFINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWALLICON.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPPNT.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
TDS2-XP.EXE
SAFEWEB.EXE
ZAPRO.EXE
BLACKICE.EXE

Para infectar a través del KaZaa, el gusano se copia a la carpeta compartida del programa, con alguno de los siguientes nombres:

4 hot fucking naked girls.mpeg.exe
buffy nude.mpeg.exe
FULL TEENS NAKED AND FUCKED.mpeg.exe
gutter sluts.mpeg.exe
HARDCORE SEX TEENS 1M-4F.mpg.exe
kazza2_skin_aqua.exe
teen blow jobs and fucks.mpeg.exe
teen sex.mpeg.exe
watch britney fuck.mpeg.exe
XXX.mpeg.exe

Para propagarse usando el mIRC, el gusano crea un archivo SCRIPT.INI con las instrucciones para enviarse a todos los usuarios que compartan los mismos canales de chat que la víctima.

El archivo SCRIPT.INI contiene además el siguiente texto:

Please dont edit this script...
mIRC will no longer runcorrectly

El gusano se copia además a todos los directorios raíz de todas las unidades lógicas de la C a la Z. En el caso de encontrar un archivo AUTORUN.INF, el gusano lo intentará modificar para agregar la instrucción que le permita autoejecutarse en el próximo reinicio.

El 13 de diciembre de cualquier año (entre el 2002 y el 2012), el gusano mostrará el siguiente mensaje:

all your bases belongs to us - SYSTEM OWNED BY
"tHE xEROx wORM" - fix the network problems -
no harm to your systems done.

Luego envía el siguiente texto a todos los usuarios conectados a la red:

SYSTEM OWNED BY "tHE xEROx wORM" - all your
bases belongs to us

También crea el archivo "c:\3jf9302m.txt" con el siguiente texto:

.XeroX win32 worm - all yours bases belongs to us.

- system owned -
- network compromised - 
- antvirus/ firewalls shutdown -
- xerox 2 all users names that log into a infect machine -
- infects kazaa -
- disk drive infected -
- net send command -
- packet servers -
- no harm done to system/user files -

worm was designed ONLY to spred not to do any permanant damage, just
dont allow worm to infect a lage network as it can packet the server,
on 13th of december any year.

Luego, intentará imprimir dicho archivo hasta 200 veces en forma continua.


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

xerox

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS