VSantivirus No. 914 - Año 7 - Martes 7 de enero de 2003
W32/Backzat.C. Destructivo y se propaga por redes P2P
http://www.vsantivirus.com/backzat-c.htm
Nombre: W32/Backzat.C
Tipo: Gusano de Internet (P2P)
Alias: W32.HLLW.Backzat.C
Fecha: 3/ene/03
Tamaño: 68,608 bytes
Plataforma: Windows 32-bits
Este gusano de envío masivo, escrito en Visual C++ y comprimido con la utilidad UPX, utiliza el Microsoft Outlook para autoenviarse a todos los contactos de la libreta de direcciones.
También intenta propagarse a través de las redes de intercambio de archivos entre computadoras de usuarios (P2P) cómo KaZaa, eDonkey2000, BearShare, Morpheus y Grokster.
Puede distribuirse también en redes a través de unidades mapeadas, usando mensajeros como AIM95 e ICQ, o canales de chat a través del mIRC.
Cuando se ejecuta, intenta borrar archivos de conocidos programas antivirus que pudieran estar instalados en la máquina infectada.
El mensaje tiene estas características:
Asunto:
Heyhey!
Datos adjuntos:
BBbLWDB.Scr
Texto del mensaje:
Ya know man, I've seen funny things in my life but this
screen saver beats them all, You have to check this out.
Cuando se ejecuta, muestra un mensaje de error falso:
Error
This program has encountered an error and needs to
close, please try again. If the problem persists try
restarting your computer.
[ OK ]
Luego crea estos archivos:
C:\Windows\Taskmoan.Exe
C:\Windows\System\BBbLWDB.Scr
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
Luego, crea la siguiente clave en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TaskSysStartBB = C:\Windows\Taskmoan.Exe
También agrega la siguiente entrada:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
SysTrayStartLW = C:\Windows\System\BBbLWDB.Scr
Para obtener las direcciones de la carpeta utilizada por el KaZaa para el intercambio de archivos, el gusano examina la siguiente entrada:
HKCU\Software\Kazaa\Transfer\DlDir0
Si existe KaZaa en la máquina infectada, el gusano se copia a si mismo en las siguientes ubicaciones:
[carpeta de transferencia del KaZaa] \Kira Kerner SCREENSAVER.Scr
C:\My Downloads\NUDIE SCREENSAVER.Scr
C:\Program Files\BearShare\Shared\XBOX EMU REALWORKING.EXE
C:\Program Files\EDonkey2000\Incoming\EminEmSpearsBritney.Scr
C:\Program Files\Grokster\My Grokster\KOF2K2.zip.EXE
C:\Program Files\ICQ\Shared Files\GAMECUBE EMU REALWORKING.EXE
C:\Program Files\Morpheus\My Shared Folder\HOT SEXY SCREENSAVER.Scr
Se requiere que estén instaladas las utilidades ICQ, eDonkey2000, BearShare, KaZaA, Morpheus o Grokster.
Luego se copia también en:
C:\Program Files\AIM95\Buddies4Eva.Scr
Si existe una unidad mapeada con letra G a Z, entonces se copia en el raíz de dichas unidades con el nombre (por ejemplo):
H:\Taskmoan.exe
También crea este archivo:
C:\Windows\Script.ini
Luego busca el archivo "Script.ini" del mIRC (si ese es el software instalado para acceder al chat) y lo sobrescribe con el creado en el directorio raíz. Con los cambios, el gusano se enviará a cada usuario conectado al mismo canal de IRC que el dueño de la computadora infectada.
También crea este archivo con atributos de oculto (+H), y luego lo ejecuta:
C:\Windows\BBbLWDB.Bat
Este componente realiza el envío masivo de mensajes como el descripto, a todos los integrantes de la libreta de direcciones. Pero esta característica, puede fallar en ocasiones.
Si el sistema operativo es Windows XP, NT, o 2000, el gusano intenta sobrescribir todos los archivos con extensión .EXE de la carpeta
"C:\_RESTORE\Temp" con su propio código.
También intenta agregar el contenido de "C:\Windows\BBbLWDB.Bat" a todos los archivos .BAT.
Si el día es domingo, el gusano intenta formatear las unidades D, E, y F.
También intenta borrar todos los arcchivos en las siguientes carpetas:
C:\AntiVi~1
C:\eSafen
C:\f-macro
C:\PC-Cil~1
C:\Progra~1\AntiVi~1
C:\Progra~1\AvPersonal\*.*
C:\Progra~1\Comman~1\F-PROT95\*.*
C:\Progra~1\Common~1\Symant~1\*.*
C:\Progra~1\Common~1\Symant~1\Script~1\*.*
C:\Progra~1\FindVirus
C:\Progra~1\FWIN32
C:\Progra~1\Grisoft\AVG6
C:\Progra~1\Kasper~1\*.*
C:\Progra~1\McAfee\McAfee FireWall\*.*
C:\Progra~1\McAfee\VirusScan
C:\Progra~1\Norton~1
C:\Progra~1\Norton~2
C:\Progra~1\PandaS~1\PandaA~1\*.*
C:\Progra~1\QuickH~1
C:\Progra~1\Symantec\*.*
C:\Progra~1\TinyPe~1\*.*
C:\Progra~1\TrendM~1\Pc-cil~1\*.*
C:\Progra~1\Trojan~1\*.*
C:\Progra~1\ZoneLa~1\ZoneAlarm\*.*
C:\TBAVW95
C:\ToolKit\FindVirus
C:\VS95
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Deshabilitar las carpetas compartidas en BearShare
1. Ejecute BearShare.
2. Seleccione "Options" del menú "Setup".
3. Seleccione la lengüeta "Sharing"
4. Seleccione todo lo que estuviera en la ventana bajo el título "Share the files in these directories and their sub-directories:" y pinche en "Remove"
5. Pinche en "Aceptar", etc.
Deshabilitar las carpetas compartidas en eDonkey2000
eDonkey2000 automáticamente comparte el contenido de cualquier carpeta que usted haya especificado para recibir los archivos. Por lo tanto no se puede restringir la posibilidad de compartir dicha carpeta. Se recomienda no utilizar este software en su computadora.
Deshabilitar las carpetas compartidas en Morpheus
1. Ejecute Morpheus.
2. Seleccione "Options" del menú "Edit".
3. Seleccione la opción "Traffic" de la lista de opciones.
4. En Limits, en la entrada "Maximum simultaneous uploads", borre el valor anterior (por ejemplo "5"), escriba "0" (cero), y pinche en OK.
5. Pinche en "Aceptar", etc.
Deshabilitar las carpetas compartidas en Grokster
1. Ejecute Grokster.
2. Seleccione "Tools" > "Find Media to Share" > "Folder List".
3. Pinche en el botón "DeSelect All".
4. Pinche en "Aceptar", etc.
Reparación manual
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
[carpeta de transferencia del KaZaa] \Kira Kerner SCREENSAVER.Scr
BBbLWDB.Scr
C:\My Downloads\NUDIE SCREENSAVER.Scr
C:\Program Files\AIM95\Buddies4Eva.Scr
C:\Program Files\BearShare\Shared\XBOX EMU REALWORKING.EXE
C:\Program Files\EDonkey2000\Incoming\EminEmSpearsBritney.Scr
C:\Program Files\Grokster\My Grokster\KOF2K2.zip.EXE
C:\Program Files\ICQ\Shared Files\GAMECUBE EMU REALWORKING.EXE
C:\Program Files\Morpheus\My Shared Folder\HOT SEXY SCREENSAVER.Scr
C:\Windows\BBbLWDB.Bat
C:\Windows\Script.ini
C:\Windows\System\BBbLWDB.Scr
C:\Windows\System\BBbLWDB.Scr
C:\Windows\Taskmoan.Exe
C:\Windows\Taskmoan.Exe
X:\Taskmoan.exe
La unidad "X" representa cualquier unidad de disco de la G a la Z.
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
TaskSysStartBB
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
SysTrayStartLW
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|