Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Yaha.A. Falso protector de pantalla de San Valentín
 
VSantivirus No. 589 - Año 6 - Sábado 16 de febrero de 2002

W32/Yaha.A. Falso protector de pantalla de San Valentín
http://www.vsantivirus.com/yaha-a.htm

Nombre: W32/Yaha.A
Tipo: Gusano de Internet
Alias: WORM_YAHA.A, W32/Yaha@mm
Fecha: 15/feb/02
Tamaño: 20,992 bytes (comprimido con UPX)

Este gusano de envío masivo de correo electrónico, escrito en Visual C++, simula ser un protector de pantalla relativo al día de San Valentín, enviado intencionalmente por alguien conocido, que ha sido inscripto a una lista de distribución de salvadores de pantalla, lo que es falso.

Típicamente arriba como un adjunto de nombre "Valentin.scr". Si el usuario lo intenta ejecutar, el gusano se activa, y crea dos copias ocultas (+H) en la papelera de reciclaje (algunos antivirus no examinan allí a menos que se lo pida):

C:\Recycled\msmdm.exe
C:\Recycled\msscra.exe

El servidor SMTP, la dirección de envío (el De:) y el nombre, son extraídos de la siguiente rama del registro:

HKCU\Software\Microsoft\Internet Account_Mmanager\
Accounts\00000001

El nombre es usado para firmar el mensaje enviado.

Si no encuentra un servidor SMTP definido por defecto aún, el gusano intenta conectarse a un servidor de esta lista propia contenida en su código:

webproxy.teaorcoffee.com.tw
supab.stn.sh.cn
sitic.com.cn
server.benmoss.com
pokkant1.pokka.com.sg
pdc.hrserve.com.tw
outmail.dongfang-china.com
ns.sillim.hs.kr 
ns.binter.cl
microimportservice.com
mailsvr.hanace.co.kr
mailserver.kaimi.com.cn
mail.yinda.com.cn
mail.win-tex.com
mail.pusanpaik.or.kr
mail.cmr.com.cn
mail.clinicasanborja.com.pe
luckybusan.com
linux2.ele-china.com
crato.urca.br
ahbb.net
ntserver1.pascon.com
toad.com
mailinx.nettlinx.com
www.sztge.com.cn

El gusano modifica también las siguientes claves del registro, para asegurarse su ejecución cada vez que se abre un archivo .EXE (esto dificultará además su limpieza):

HKEY_CLASSES_ROOT\exefile\shell\open\command 
(Predeterminado) = c:\recycled\msmdm.exe %1 %* 

Las direcciones a las que se enviará son extraídas de la carpeta de archivos temporales de Internet, y guardadas en el archivo C:\Windows\SCREEND.DLL

También busca en la libreta de direcciones del usuario, localizándola a partir de esta clave en el registro:

HKLM\Software\Microsoft\WAB\WAB4\Wab File Name

Los mensajes enviados tienen estas características:

Asunto:

Fw: Melt the Heart of your Valentine with this beautiful
Screen saver

Texto:

Hi
Check this screen saver
Happy Valentines day
See u

Adjunto: Valentin.scr

Para eliminar el virus de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command  /c  Rename  C:\Windows\Regedit.exe  Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) msmdm.exe %1 %*

5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (msmdm.exe) y dejar solo esto (comilla, porcentaje, número uno, comilla, espacio, porcentaje, asterisco):

"%1" %*

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.com Regedit.exe

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.COM, etc.).

9. Luego, ejecute uno o más antivirus al día, y borre los siguientes archivos (deberá cambiar sus propiedades antes, ejecutando los siguientes comandos desde una ventana MS-DOS):

attrib  -r  -s  -h  C:\Recycled\msmdm.exe
attrib  -r  -s  -h  C:\Recycled\msscra.exe
del  C:\Recycled\msmdm.exe
del  C:\Recycled\msscra.exe

10. Borre los mensajes que tengan como adjunto un archivo "Valentin.scr"


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS