VSantivirus No. 1238 Año 8, Jueves 27 de noviembre de 2003
W32/Adurk.A. Se propaga por redes y correo electrónico
http://www.vsantivirus.com/adurk-a.htm
Nombre: W32/Adurk.A
Tipo: Gusano de Internet
Alias: WORM_ADURK.A, W32.Adurk.A@mm, Worm/Ardurk.G
Plataforma: Windows 32-bit
Fecha: 24/nov/03
Tamaño: 13,312 bytes
Gusano que se propaga por recursos compartidos en redes y vía correo electrónico, en mensajes como el siguiente:
De: [cualquier dirección obtenida]
Para: [dirección destinatario]
Asunto: CARTOON [número al azar]
Datos adjuntos: CARTOON_[número al azar].exe
Texto en formato HTML:
CARTOON [número al azar]
The #1 Site for: Cartoons, Hentai & Anime
HORNY LITTLE TOONS EXCLUSIVE HENTAI CONTENT
EROTIC ANIME MOVIES
NEVER SEEN BEFORE CARTOON SLUTS
JAPANESE MANGA TOONS
ENTER CARTOON [número al azar]
HERE!!
To = unsubscribe click A here
Cuando se ejecuta, el gusano crea una copia de si mismo con alguno de estos nombres y ubicación:
c:\windows\system\adurk-a.exe
c:\windows\system\i_love_you.exe
c:\windows\system\[nombre al azar].exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Namesd = [nombre del ejecutable del gusano]
También crea la siguiente entrada, para registrarse como un objeto OLE:
HKCR\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\LocalServer32
(predeterminado) = c:\windows\system\adurk-a.exe
Las XXXX son valores hexadecimales generados al azar.
NOTA: OLE (Object Linking and Embedding), proporciona un estándar que permite a los objetos, aplicaciones y componentes ActiveX, comunicarse entre sí con la finalidad de usar el código de los demás. Los objetos no necesitan conocer por anticipado en qué objetos se van a comunicar, ni su código necesita estar escrito en el mismo lenguaje.
También crea la siguiente entrada:
HKLM\SYSTEM\CurrentControlSet\Services\i_love_you.exe
ImagePath = [un valor hexadecimal]
DisplayName = i_love_you.exe
El gusano muestra también el siguiente mensaje falso:
Error System Seting
The object can't accept the call because
its initialize function or equivalent has
not been called.
[ OK ]
El gusano se propaga a cada recurso compartido en red utilizando el nombre I_LOVE_YOU.EXE para copiarse en cada disco y carpeta compartida.
Para propagarse por correo electrónico utiliza el protocolo SMTP(Simple Mail Transfer Protocol), utilizando la información obtenida en la siguiente clave del registro:
HKCU\Software\Microsoft\Internet Account Manager\Accounts
Los mensajes son enviados a direcciones seleccionadas de la máquina infectada, siendo también el remitente seleccionado de la lista obtenida. Por lo tanto, el remitente de los mensajes no es realmente quien dice enviarlos.
Reparación manual
Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos y recursos compartidos en red
3. Borre los archivos detectados como infectados
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Namesd
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services
\I_love_you.exe
5. Pinche en la carpeta "I_love_you.exe" y bórrela.
6. En el editor del registro, seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada lo siguiente:
adurk-a.exe
7. Pinche en el botón "Buscar siguiente" y borre todas las entradas que aparezcan. Por ejemplo, si aparece una entrada como ésta:
HKEY_CURRENT_USER
\CLSID
\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
\LocalServer32
(predeterminado) = c:\windows\system\ADURK-A.EXE
Borre la carpeta {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, donde las XXXX representan caracteres hexadecimales.
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|