Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Yaha.E. Elimina conocidos antivirus y cortafuegos
 
VSantivirus No. 699 - Año 6 - Jueves 6 de junio de 2002

W32/Yaha.E. Elimina conocidos antivirus y cortafuegos
http://www.vsantivirus.com/yaha-e.htm

Nombre: W32/Yaha.E
Tipo: Gusano de Internet
Alias: W32/Yaha-D, W32.Yaha.E@mm, WORM_YAHA.E, Worm/Lentin.F, W32/Yaha.g@MM, W32.Yaha.F@mm, W32/Lentin.E, W32/Yaha-E, Yaha.E, W32/Yaha.G@MM 
Fecha: 4/jun/02
Plataforma: Windows
Tamaño: 29,948 bytes (UPX)
Fuente: Sophos

Herramienta para limpiar el Yaha:

Esta versión del ‘Yaha’ (identificada como D por algunos antivirus), se propaga a través del correo electrónico, usando su propio cliente SMTP y puede usar como servidor SMTP cualquiera encontrado en el registro de Windows (cuentas de correo del usuario), o alguno de los disponibles en una lista de su propio código.

El gusano puede enviarse en una larga variedad de mensajes, los que genera a partir de una numerosa cantidad de opciones.

El asunto, puede ser creado con una combinación de palabras y frases tomadas de la siguiente lista:

searching for true Love
you care ur friend
Who is ur Best Friend 
make ur friend happy
True Love
Dont wait for long time
Free Screen saver
Friendship Screen saver
Looking for Friendship
Need a friend?
Find a good friend
Best Friends
I am For u
Life for enjoyment
Nothink to worryy
Ur My Best Friend 
Say 'I Like You' To ur friend
Easy Way to revel ur love
Wowwwwwwwwwww check it
Send This to everybody u like
Enjoy Romantic life
Let's Dance and forget pains
war Againest Loneliness
How sweet this Screen saver
Let's Laugh 
One Way to Love
Learn How To Love
Are you looking for Love
love speaks from the heart
Enjoy friendship
Shake it baby
Shake ur friends
One Hackers Love
Origin of Friendship
The world of lovers
The world of Friendship
Check ur friends Circle
Friendship
how are you
U r the person?
Hi
U realy Want this
Romantic
humour
New
Wonderfool
excite
Cool
charming
Idiot
Nice
Bullshit
One
Funny
Great
LoveGangs
Shaking
powful
Joke
Interesting
Interesting
Screensaver
Friendship
Love
relations
stuff
to ur friends
to ur lovers
for you
to see
to check
to watch
to enjoy
to share

El texto del mensaje puede ser algo similar a los siguientes ejemplos:

1.

Hi Dear
Check the attach
See u 

.
.

Check the attachment too..



2.

Hi Dear
Check the Attachement ..
See u
<remitente> 

----- Original Message -----
From: "Friendship" < friendshipscr@love.com >
To: < sender's address >
Sent: Friday, May 11, 2002 8:38 PM
Subject: The world of Friendship :-) 


This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.

******************************************************* 

Enjoy this friendship Screen Saver and Check ur friends circle... 

Send this screensaver from www.love.com to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.

* To remove yourself from this mailing list, point your browser to: http://love.com/remove?freescreensaver 
* Enter your email address < sender's address > in the field provided and click "Unsubscribe". 



3.

* Reply to this message with the word "REMOVE" in the subject line. 

This message was sent to address <sender's address>
X-PMG-Recipient: <sender's address>
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

El nombre del archivo adjunto puede estar formado por tres partes (el nombre y una doble extensión), seleccionados de las siguientes listas:

screensaver
screensaver4u
screensaver4u
screensaverforu
freescreensaver
love
lovers
lovescr
loverscreensaver
loversgang
loveshore
love4u
lovers
enjoylove
sharelove
shareit
checkfriends
urfriend
friendscircle
friendship
friends
friendscr
friends
friends4u
friendship4u
friendshipbird
friendshipforu
friendsworld
werfriends
passion
bullshitscr
shakeit
shakescr
shakinglove
shakingfriendship
passionup
rishtha
greetings
lovegreetings
friendsgreetings
friendsearch
lovefinder
truefriends
truelovers
fucker

La primera de las extensiones, es seleccionada de esta lista:

DOC
MP3
XLS
WAV
TXT
JPG
GIF
DAT
BMP
HTM
MPG
MDB
ZIP

La segunda extensión, se selecciona entre las siguientes:

PIF
BAT
SCR

Por ejemplo, un adjunto infectado podría llamarse:

screensaver4u.MP3.PIF

El gusano, crea una copia de si mismo, con un nombre al azar, en la carpeta de reciclaje, y con atributos de oculto (+H). También modifica la siguiente clave del registro para autoejecutarse cada vez que un archivo .EXE es llamado:

HKLM\Software\Classes\Exefile\shell\open\command
(Predeterminado) = "c:\recycled\XXXXXX "%1" %*"

Las "XXXXXX" representan el nombre tomado al azar.

Luego intenta deshabilitar cualquiera de los siguientes procesos correspondientes a una larga lista de conocidos antivirus y cortafuegos:

ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
SAFEWEB
WEBSCANX
ANTIVIR
MCAFEE
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON

Cuando el gusano se ejecuta por primera vez, desplegará repetidamente en el monitor, los siguientes mensajes en varios colores, simulando ser un protector de pantalla:

"U r so cute today #!#!"
"True Love never ends"
"I like U very much!!!"
"U r My Best Friend"


El gusano también genera un archivo de texto (.TXT) con nombre al azar en la carpeta \Windows, con el siguiente contenido:

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

iNDian sNakes pResents yAha.E

iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK shites

bY

sNAkeeYes,c0Bra

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>


Para eliminar el virus de un sistema infectado


Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej.: C:\NOMBRE\REGEDIT.EXE, etc.).

2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = "c:\recycled\[nombre al azar] %1 %*"

5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el cargador: (c:\recycled\[nombre al azar]) y dejar solo esto (comilla, porcentaje, número uno, comilla, espacio, porcentaje, asterisco):

(Predeterminado) = "%1" %*

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.com Regedit.exe

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej.: C:\NOMBRE\REGEDIT.COM, etc.).

9. Ejecute uno o más antivirus actualizados.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
17/jun/02 - Agregado alias W32.Yaha.E@mm, WORM_YAHA.E, Worm/Lentin.F
26/jun/02 - Agregado alias W32/Yaha.g@MM, W32.Yaha.F@mm, W32/Lentin.E, W32/Yaha-E, Yaha.E, W32/Yaha.G@MM y texto creado en \Windows.




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS