Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Yaha.B. FRIENDS.SCR, falso protector de pantalla
 
VSantivirus No. 622 - Año 6 - Jueves 21 de marzo de 2002

W32/Yaha.B. FRIENDS.SCR, falso protector de pantalla
http://www.vsantivirus.com/yaha-b.htm

Nombre: W32/Yaha.B
Tipo: Gusano de Internet
Alias: WORM_YAHA.B, YAHA, YAHA.B, FRIENDS.SCR, W32/Yaha.B@MM, W32/Valscr.A-mm, Worm/Lentin.B
Fecha: 20/mar/02
Plataforma: Windows 9X/ME/2K
Tamaño: 23,320 bytes

Este gusano se auto envía a todos las direcciones de correo recolectadas entre las existentes en la libreta de direcciones y las encontradas en archivos .HTM y .HTML de la carpeta de archivos temporales.

El adjunto que llega con los mensajes infectados se llama FRIENDS.SCR, y simula ser un salvador de pantallas.

El adjunto que llega con los mensajes infectados se llama FRIENDS.SCR, y simula ser un salvador de pantallas.

Si el usuario lo ejecuta (doble clic), el texto "Hahahh", se despliega, rotando por toda la pantalla, con varios efectos y diseño multicolor.

Mientras tanto, el gusano se carga en memoria, y su primera acción será crear los siguientes archivos:

C:\Windows\.TXT
C:\Windows\[nombre al azar].TXT
C:\Windows\[nombre al azar].DLL

Los nombres son generados al azar, y todos los archivos solo contienen texto.

También graba en la carpeta de la papelera de reciclaje (C:\RECYCLED), dos copias de si mismo con nombres al azar.

El gusano utiliza la misma técnica del Sircam.A para ejecutarse a si mismo cada vez que un ejecutable es abierto. Para ello modifica la siguiente rama del registro:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado)=""%1" %*"

cambiándola por:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado)="c:\recycled\[nombre al azar].exe %1 %*"

El gusano también cambia la pantalla de inicio del Internet Explorer y el servicio MSN Messenger por uno de los siguientes enlaces:

www.achayans.com
www.sunnt.com
suryatvwww.malayalam
channel.com
www.india.com
www.kerala.com
www.asianet
global.com
www.malayalamanorama.com

Utiliza su propia rutina SMTP (Simple Mail Transfer Protocol) para enviarse a si mismo a los usuarios que infecta (tomados de la libreta de direcciones, etc.).

Emplea la configuración de la cuenta por defecto (Internet Account Manager) para enviarse a si mismo usando el servidor SMTP allí especificado (el servidor de nuestra cuenta de correo predeterminada). Esta información se guarda en las siguientes ramas del registro: 

HKEY_CURRENT_USER\Software\Microsoft
\Internet Account Manager\Accounts\00000000

SMTP Email Address =
(nuestra dirección de correo predeterminada)

SMTP Server =
(dirección IP del SMTP de nuestra cuenta de correo)

El valor "00000000" varía, y se refiere al identificador de la cuenta predeterminada cuando se tienen varias.

La ubicación de la libreta de direcciones, para tomar las direcciones a las que se enviará, es tomada de la siguiente rama del registro:

HKEY_CURRENT_USER\Software\Microsoft
\WAB\WAB4\Wab File Name

Los mensajes tienen cualquiera de los siguientes formatos:

Asunto: Enjoy this friendship-joke Screen Saver!!!!
Datos adjuntos: FRIENDS.SCR

Asunto: Fw: Enjoy this friendship-joke Screen Saver!!!!
Datos adjuntos: FRIENDS.SCR

Asunto: Have a nice day!!!!
Datos adjuntos: FRIENDS.SCR

El gusano falla al intentar copiarse bajo Windows 2000 debido a que utiliza la carpeta C:\RECYCLED para ello (la papelera), y dicho directorio no siempre existe en este sistema operativo.

Sin embargo, si modifica el registro, haciendo que no se puedan ejecutar correctamente archivos .EXE en la máquina infectada.

El gusano no se ejecuta bajo Windows NT.

El siguiente texto (que no es mostrado), se encuentra dentro del gusano:

W32.Yaha-II
Author : H^H ,h2h@achayans.comOrigin : India,Kerala
Dedicated to
All the Stupid SW Profs that thinks they r the masters..

Para eliminar el virus de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = "c:\recycled\[nombre al azar].exe %1 %*"

5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el cargador: (c:\recycled\[nombre al azar].exe) y dejar solo esto (comilla, porcentaje, número uno, comilla, espacio, porcentaje, asterisco):

(Predeterminado) = "%1" %*

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.com Regedit.exe

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.COM, etc.).

9. Ejecute uno o más antivirus actualizados.

10. Borre los mensajes que tengan como adjunto un archivo "FRIENDS.SCR".


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS