|
VSantivirus No. 1643 Año 9, miércoles 5 de enero de 2005
W32/Breacuk.C. Usa mensajes en español y otros idiomas
http://www.vsantivirus.com/breacuk-c.htm
Nombre: W32/Breacuk.C
Tipo: Gusano de Internet
Alias: Breacuk.C, WORM_BEAKER.C, Email-Worm.Win32.Breacuk.c, NewHeur_PE
Fecha: 28/dic/04
Plataforma: Windows 32-bit
Tamaño: 26,112 bytes (PE TeLock)
Gusano que se propaga por correo electrónico, con asuntos y mensajes en diferentes idiomas, entre ellos español.
El texto del mensaje intenta hacer creer que el archivo enviado está limpio de virus (jamás debemos abrir adjuntos no solicitados, sin importar el remitente y mucho menos en mensajes que no podemos comprobar).
Para enviarse a otros equipos, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), de tal modo que no importa que cliente de correo se tenga instalado.
Para propagarse, busca direcciones de correo en diferentes archivos del sistema.
El gusano crea múltiples copias de si mismo con nombres al azar en el sistema infectado. Sin embargo la presencia de un archivo B6.LOG en la carpeta de archivos temporales de Windows (TEMP), y el archivo CODM sin extensión en la carpeta de Windows, pueden ser un indicio de infección.
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
El gusano puede presentarse en mensajes con las siguientes características:
Asunto: [uno de los siguientes]
- Re:FW: imposs vel s-lo tanto... :P, v
- Re:FW:(none)
- Re:FW:Aid please! :), to see it
- Re:FW:Aide s'il vous plat! :), pour le voir
- Re:FW:Ajuda a ajudar-te... :), v
- Re:FW:Ayudame a ayudarte... :), miralo
- Re:FW:Because it is worth ,to see it
- Re:FW:Besser Witz des Jahres:), um es zu sehen
- Re:FW:Besserer Idiot des Jahres, um es zu sehen
- Re:FW:Besseres Foto des Jahres;), um es zu sehen
- Re:FW:Better idiot of the year, to see it
- Re:FW:Better joke of the year:), to see it
- Re:FW:Better Photo of the year;), to see it
- Re:FW:Ce que nous voulions toujours... :), pour le voir
- Re:FW:Che cosa abbiamo desiderato sempre... :), vederli
- Re:FW:Die schlechtere Sache des Jahres, um es zu sehen
- Re:FW:Es gibt kein Leben ohne Tod ...: (, um es zu sehen
- Re:FW:Es imposible serlo tanto... :P, miralo
- Re:FW:Es ist unm glich, es soviel ...:P zu sein, es zu sehen
- Re:FW:Foto migliore dell'anno;), per vederla
- Re:FW:Hilfe bitte!:), um es zu sehen
- Re:FW:Idiot migliore dell'anno, vederlo
- Re:FW:Il est impossible d' tre cela tant de ...:P, le voir
- Re:FW:Il n'y a aucune vie sans mort... : (, pour le voir
- Re:FW:impossibile a sia tanto... :P, vederlo
- Re:FW:It is impossible to be it as much... :P, to see it
- Re:FW:La cosa pi?ettosa dell'anno, vederla
- Re:FW:La chose plus mauvaise de l'anne, pour le voir
- Re:FW:Le meilleur idiot de l'ann e, pour le voir
- Re:FW:Lo peor del año, miralo
- Re:FW:Lo que siempre quisimos... :). miralo
- Re:FW:Meilleure Photo de l'anne;), pour le voir
- Re:FW:Mejor chiste del año :),miralo
- Re:FW:Mejor chorrada del año, miralo
- Re:FW:Mejor Foto del año ;), miralo
- Re:FW:Melhor anedota do ano :),v
- Re:FW:Melhor Foto do ano ;), v
- Re:FW:Mieux plaisanterie de l'anne :), pour le voir
- Re:FW:N vida sem morte... :(, v
- Re:FW:No hay vida sin muerte... :(, miralo
- Re:FW:Non ci vita senza morte... :(, vederla
- Re:FW:O mas idiota, v
- Re:FW:O pior do ano, v
- Re:FW:O que sempre quisemos... :). v
- Re:FW:Parce qu'il vaut, le voir
- Re:FW:Pois vale. v
- Re:FW:Preis!:D, um es zu sehen
- Re:FW:Premio! :D, vederlo
- Re:FW:Premio!!!! :D, miralo
- Re:FW:Prix! :D, pour le voir
- Re:FW:Prize! :D, to see it
- Re:FW:Prumio!!!! :D, v
- Re:FW:Pues vale. miralo
- Re:FW:Scherzo migliore dell'anno:), per vederlo
- Re:FW:Sussidio per favore! :), per vederlo
- Re:FW:The worse thing of the year, to see it
- Re:FW:There is no life without death... :(, to see it
- Re:FW:Was wir immer ... wollten:), um es zu sehen
- Re:FW:Weil das wert ist, es zu sehen
- Re:FW:What we always wanted...:), to see it
Texto del mensaje: [uno de los siguientes]
Kaspersky-Antivirus.
Kein Virus Gefundenes
State:Ok
Symantec-Antivirus.
Noo Vyrus.
State:Ok
Symantec-Antivirus.
Nessun Virus Found.
State:Ok
Kaspersky-Antivirus.
No Virus Found.
State:Ok
F-Secure-Antivirus.
Aucun Virus Constat
State:Ok
Panda ActiveScan-Antivirus.
No se encontraron virus.
Estado:Ok
Datos adjuntos: [uno de los siguientes]
a.zip
anedota2004.zip
Bilge2004.zip
Bonheur.zip
ck.zip
chiste2004.zip
Daswarniewie das.zip
Eskannnichtsein.zip
essere.zip
explodecarros.zip
Exploitedesvoitures.zip
exploitscars.zip
felicidad.zip
felicidade.zip
Felicit
Foto2004.zip
foto2004.zip
Happiness.zip
Heiligtum.zip
hrt.zip
Ichhabeesber
Ihavetouched it.zip
Ilnepeutpas
Itcannotbe.zip
Itwasneverlikethat.zip
jamasfueasi.zip
Jel'aitouch
Joke2004.zip
Kielraum2004.zip
L'hotoccato.zip
mehatocado.zip
metocou.zip
noneramaicomeci
Nonpu
nopuedeser.zip
nuncafoiassim.zip
opodeser.zip
Peggiore2004.zip
pegote2004.zip
peor2004.zip
photo2004.zip
Photo2004.zip
pior2004.zip
Plaisanterie2004.zip
Plusmauvais2004.zip
rebientacoches.zip
Renflement2004.zip
rio.zip
Sanctuaire.zip
Sanctuary.zip
santu
Santuario.zip
santuario.zip
Scherzo2004.zip
Schlechter2004.zip
stupido2004.zip
taitjamaiscomme
tatAutos.zip
tonto2004.zip
tre.zip
utilizzadelleautomobili.zip
Witz2004.zip
Worse2004.zip
Cuando el contenido del adjunto es ejecutado (doble clic), el gusano se copia varias veces, todas con nombres al azar, en las siguientes carpetas del sistema:
\TEMP\
c:\windows\Fonts
c:\windows\system
c:\windows\system32
c:\windows\Tasks
También crea una copia comprimida (.ZIP) de si mismo con el nombre de B6.LOG en la siguiente ubicación:
\TEMP\b6.log
Crea la siguiente copia de si mismo en formato Base64:
c:\windows\codm
Para asegurarse de autoejecución en cada reinicio de Windows, crea las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\Temp\[nombre].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\Tasks\[nombre].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\Fonts\[nombre].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\System\[nombre].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\System32\[nombre].exe"
Donde "?????" son caracteres al azar, y el [nombre] del gusano es uno de los archivos creados antes también con nombres al azar.
Para propagarse por correo electrónico se envía a si mismo en mensajes como el ya descrito, a las direcciones encontradas en archivos con las siguientes extensiones del equipo infectado:
.adb
.ade
.asp
.avi
.bak
.bas
.bat
.bin
.bmp
.cfg
.cgi
.cls
.cmd
.com
.css
.csv
.ctl
.ctt
.dat
.dbx
.dhtm
.doc
.eml
.fdb
.frm
.htm
.html
.ihm
.imb
.img
.inf
.ini
.iso
.jpg
.js
.jsp
.log
.logs
.lst
.mda
.mdb
.mdw
.mdx
.mp3
.mpg
.msg
.msi
.nch
.nfo
.nrg
.nws
.oft
.pdf
.php
.pif
.pl
.pmr
.ppt
.rar
.rft
.rpt
.rtf
.scr
.sfc
.sht
.shtm
.swf
.tbb
.txt
.uni
.url
.vap
.vbs
.vcf
.wab
.wma
.wsh
.xls
.xml
.zip
Cuando detecta una conexión a Internet, abre el navegador para intentar mostrar las siguientes imágenes:
http://www.por???rone.com/ad2_03/images/pc0132hb026.jpg
http://www.por???rone.com/ad2_03/images/pc0132hb072.jpg
http://www.por???rone.com/ad2_03/images/pc0132hb098.jpg
Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el virus desde el momento de ocurrida la infección, hasta el momento de su detección.
Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales de Windows
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|