Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Yarner.A. Peligroso virus disfrazado de antitroyano
 
VSantivirus No. 593 - Año 6 - Miércoles 20 de febrero de 2002

W32/Yarner.A. Peligroso virus disfrazado de antitroyano
http://www.vsantivirus.com/yarner-a.htm

Nombre: W32/Yarner.A
Tipo: Gusano de Internet
Alias: Win32.Yarner.A@mm, I-Worm.Yarner.b, Trojan.Yaw.20, W32.Yarner.A@mm, W32/Yarner.A@mm, 
Win32/Yarner.B@mm, Win32/Yaw.A, Win32/Yawer, Yaw, WORM_YARNER.B, Yarner, W32/Yaw, W32/Yarner-A, W32/Yarner-B, W32/YAWsetup
Tamaño: 437,760 bytes (comprimido)
Plataforma: Windows
Fecha: 19/feb/02

"Yarner" es un gusano, escrito en Delphi, y disfrazado de utilidad anti-troyanos, que se propaga dentro de un conocido boletín electrónico de seguridad de origen alemán, "Trojaner Info".

A la fecha, existen dos variantes del gusano, con ligeras diferencias ya que ha sido recompilado seguramente por algún cambio meramente cosmético, pero idéntico en su funcionamiento. Algunos antivirus lo reconocen en sus dos variantes, y otros reconocen a ambos con el mismo nombre.

Llega como un archivo adjunto en un mensaje con el siguiente formato:

De: Trojaner-Info<webmaster@trojaner-info.de> 
Asunto: Trojaner-Info Newsletter 

Texto:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite
Trojaner-Info.de. Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version


************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner
YAW. YAW ist nun in einer brandneuen und stark erweiterten
Version verfuegbar. Alle unsere Newsletterleser bekommen
ihn kostenlos zusammen mit diesem Newsletter. 
Also einfach die angehaengte Datei starten und YAW 2.0
installieren. Bei Fragen steht Ihnen der Programmierer des
bislang einzigartigen Programmes Andreas Haak unter
andreas@ants-online.de zur Verfngung. Viel Spa¯ mit YAW!

<http://www.trojaner-info.de/dialer/yaw.shtml>

************************************

Das war die heutige Ausgabe mit den aktuellsten
Trojaner-Info News. Wir bedanken uns fuer eure
Aufmerksamkeit und wuenschen allen Lesern noch eine
angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert
<http://www.trojaner-info.de>


************************************

Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du
erhalten, da du in unserer Verteilerliste aufgenommen
wurdest. Solltest du unseren Newsletter nicht selber 
abonniert haben, sondern eine andere Person ohne dein
Wissen, kannst du diesen auf unseren Seiten wieder
abbestellen. Oder sende uns einfach eine entsprechende
E-Mail.

************************************

Datos adjuntos: yawsetup.exe (434 Kb)

Si el usuario ejecuta este enlace (yawsetup.exe), que es un ejecutable de Windows PE, el virus se copiará a sí mismo con un nombre seleccionado al azar de hasta 100 caracteres, y la extensión .exe. También cambiará el nombre del bloc de notas de Windows (NOTEPAD.EXE), por el de NOTEdPAD.EXE (note el agregado de la letra "d" en el medio), sobrescribiendo con su código el archivo original. De este modo, cuando el bloc de notas sea ejecutado, primero se ejecutará el gusano y luego de actuar éste, llamará al bloc de notas original.

El gusano también cambiará el registro, agregando esta clave para ejecutarse en cada reinicio de Windows:

HKCU\Microsoft\Windows\CurrentVersion\RunOnce\
[nombre al azar] = C:\Windows\[nombre al azar].exe

El gusano examina todo el disco duro en busca de archivos con esta extensión:

.php
.htm
.shtm
.cgi
.pl

De ellos, extrae direcciones de correo válidas y las copia en un archivo ubicado en el mismo directorio del gusano (Windows): KERNEL32.DAA. También usará las direcciones de la libreta del Outlook y Outlook Express.

Luego, el virus utiliza el protocolo SMTP (Simple Mail Transfer Protocol) para enviarse a través de algunos servidores públicos:

216.113.14.106
joy-go.gr.jp 
ctripserver.ctrip.com.cn 
202.101.62.207 
cocess.cocess.co.kr 
mail.bizpoint.com.sg 
ns2.webshock.co.kr 
olympus.mda.com.tr 
linux2.ele-china.com 
mailsvr.hanace.co.kr

También usará los servidores SMTP de las cuentas de correo del usuario infectado, sacando estos datos del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Account Manager\Accounts 

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Account Manager\Accounts\SMTP Server

Los datos de estos servidores serán agregados al archivo KERNEL32.DAS (tome nota que son dos archivos: KERNEL32.DAA y KERNEL32.DAS).

En su código, está implícita la capacidad de efectuar el borrado de todos los archivos del disco duro que no estén en uso, luego de enviar sus mensajes, y si se dan ciertas condiciones. Esto puede ocurrir una de cada diez ejecuciones.

Cómo borrar manualmente el gusano

Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Ejecute un antivirus actualizado, tome nota del nombre del archivo con nombre extraño detectado como YARNER (Ej: dfdfFHhhHaGJHUhxokjJxFfhHgfGafavu.exe) en la carpeta C:\Windows.

2. Seleccione el Explorador de Windows, busque en C:\Windows el archivo obtenido en el punto 1, y borre ese archivo si aparece.

3. Borre el archivo YAWSETUP.EXE en el directorio de Windows

4. Borre el archivo KERNEL.DAA y KERNEL.DAS en el directorio de Windows

5. Si existe un archivo llamado NOTEDPAD.EXE en el directorio de Windows, junto a otro llamado NOTEPAD.EXE, borre NOTEPAD.EXE, y renombre NOTEDPAD.EXE como NOTEPAD.EXE, o pegue las dos siguientes líneas de instrucciones en un archivo llamado REPARA.BAT y ejecútelo desde una ventana DOS.

if exist  C:\Windows\NOTEdPAD.EXE  del  C:\Windows\NOTEPAD.EXE
if exist  C:\Windows\NOTEdPAD.EXE  ren  C:\Windows\NOTEdPAD.EXE  NOTEPAD.EXE

6. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunOnce

8. Pinche sobre la carpeta "RunOnce". En el panel de la derecha pinche sobre la entrada que coincida con el nombre del archivo obtenido en el punto 1, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

9. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Runonce

10. Pinche sobre la carpeta "RunOnce". En el panel de la derecha pinche sobre la entrada que coincida con el nombre del archivo obtenido en el punto 1, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

Relacionados:

VSantivirus No. 593 - 20/feb/02
Yarner... la sutileza de un elefante en una cristalería
http://www.vsantivirus.com/20-02-02.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS