|
VSantivirus No. 1693 Año 9, jueves 24 de febrero de 2005
W32/Ariss.A. Datos adjuntos: "LOVE_LETTER.TXT.exe"
http://www.vsantivirus.com/ariss-a.htm
Nombre: W32/Ariss.A
Nombre NOD32: Win32/Ariss.A
Tipo: Gusano de Internet
Alias: Ariss.A, Assiral.A, .Generic.Mailworm Script, Email-Worm.Win32.Ariss.a, Trojan.VBS.SysLock.a, VBS/Love.A, VBS/LoveLetter, VBS/LoveLetter.CW.gen*, VBS/Unknown, VBS/Worm.Variant!Worm, VBS_ASSIRAL.A, W32.Assiral@mm, W32/Assiral.A.worm, W32/Assiral-A, Win32.Assiral.A, WORM_ASSIRAL.A
Fecha: 22/feb/05
Plataforma: Windows 32-bit
Tamaño: 43,520 bytes (ASPack)
Gusano escrito en Borland Delphi y comprimido con ASPack, que se propaga masivamente por correo electrónico, e intenta eliminar al gusano Bropia de las máquinas que estuvieran infectadas por ese gusano.
El ejecutable requiere algunas bibliotecas en tiempo de ejecución (runtime DLL), por lo que no funciona en todos los sistemas.
Los mensajes infectados, presentan las siguientes características:
Asunto: Re: LOV YA !
Texto del mensaje:
Kindly read and reply to my LOVE LETTER
in the attachments :-)
Datos adjuntos: LOVE_LETTER.TXT.exe
Cuando se ejecuta, el gusano se copia a si mismo en el directorio de Windows con los siguientes nombres:
c:\windows\LOVE_LETTER.TXT.exe
c:\windows\SpoolMgr.exe
Luego, se copia en la carpeta del sistema de Windows:
c:\windows\system32\MS_LARISSA.EXE
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
Agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio del equipo:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS_LARISSA = c:\windows\system32\MS_LARISSA.EXE
spoolsv manager = c:\windows\SpoolMgr.exe
El gusano también intenta copiarse a si mismo en todas las unidades de disco de la A a la Z, en las siguientes ubicaciones, además del directorio raíz:
\windows\system32\MS_LARISSA.EXE
\windows\LOVE_LETTER.TXT.exe
También libera y ejecuta los siguientes archivos:
C:\WINDOWS\WinVBS_32.vbs
C:\WINDOWS\System32\REG_32.vbs
C:\LARISSA_ANTI_BROPIA.html
Intenta abrir una página en www.geocities.com, y modifica la página de inicio predeterminada del Internet Explorer:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = http://www.geocities.com/????????_sxy
Dicha página muestra la imagen de una mujer con el siguiente texto:
Well, it's not really a LOVE LETTER,
but anyway heres MY PIC !
See ~ Am I sexy or what?? :-)
El script WINVBS_32.VBS contiene el código que realiza el envío masivo de los mensajes infectados. De forma similar al gusano Lovletter, utiliza el Outlook y Outlook Express para el envío de estos mensajes a todos los contactos de la libreta de direcciones.
El script chequea y modifica la siguiente entrada del registro:
HKCU\Software\Microsoft\WAB\EddieMail
Si la misma ya existe, no ejecuta su rutina de propagación. Si no existe, la crea y luego se envía por correo electrónico. De este modo, el gusano se enviará una sola vez desde cada máquina infectada.
La página LARISSA_ANTI_BROPIA.HTML es mostrada periódicamente por el navegador de Internet en una ventana emergente. En la misma puede leerse el siguiente texto con letras violetas y fondo negro:
LARISSA ~ OwN'z
U:-)
LARISSA ~ V3rziOn B
B
LARISSA ~ Anti-BrOpia - freeing the wOrld of brOpia !
|
Este archivo HTML contiene un script que hace que la ventana se sacuda cada vez que es abierta o refrescada.
REG_32.VBS modifica algunas configuraciones de Windows en el registro. Por ejemplo, esconde todas las unidades de disco en el Explorer y deshabilita la posibilidad de editar el registro.
MESSAGE.TXT contiene el siguiente mensaje:
Greetz from LARISSA.B!
I will survive,
In this moment in time.
You computer will crash,
So, you will be mine.
I never crash,
I never fail.
So, in this moment in time,
I will survive...
- LARISSA AUTHOR - 5-15-05
El gusano intenta matar los siguientes procesos, todos ellos pertenecientes al gusano Bropia y sus variantes (Bropia es un gusano que se propaga por MSN Messenger):
Beautiful Ass.pif
bedroom-things.pif
cz.exe
Hot.pif
ISASS.EXE
John Kerry as Super Chicken.scr
Kool.pif
Me & you pic!.pif
Me Pissed!.pif
msnmsr.exe
my_pussy.pif
naked_drunk.pif
new_webcam.pif
ROFL.pif
sexy.pif
She Could Fit her Ass in a Teacup.pif
she's fuckin fit.pif
titanic2.jpg.pif
underware.pif
Webcam.pif
También intenta finalizar los siguientes procesos relacionados con antivirus, cortafuegos, y otros programas relacionados con la seguridad:
alogserv.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avpupd.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
isass.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nisum.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
spysweeper.exe
symlcsvc.exe
update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
Reparación manual
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\larissa_anti_bropia.html
c:\windows\love_letter.txt.exe
c:\windows\spoolmgr.exe
c:\windows\winvbs_32.vbs
c:\windows\system32\ms_larissa.exe
c:\windows\system32\reg_32.vbs
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Descargue el siguiente archivo:
http://www.videosoft.net.uy/restaurar.reg
2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro.
3. Ejecute el editor de registro. Desde una ventana MS-DOS o "Símbolo del sistema", escriba REGEDIT y pulse ENTER
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
MS_LARISSA
spoolsv manager
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales de Windows
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Procedimiento para restaurar página de inicio en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Haga clic en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Haga clic en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Haga clic en "Aceptar".
Seleccionar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".
Restaurar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Haga clic en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).
5. Haga clic en el botón "Reiniciar" (Reset).
6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|