VSantivirus No. 1643 Año 9, miércoles 5 de enero de 2005
W32/Breacuk.E. Usa mensajes en español y otros idiomas
http://www.vsantivirus.com/breacuk-e.htm
Nombre: W32/Breacuk.E
Tipo: Gusano de Internet
Alias: Breacuk.E, Email-Worm.Win32.Breacuk.e, NewHeur_PE, W32/Beaker-B, W32/Breacuk.A@mm, W32/Breacuk.b@MM, W32/Breacuk.D, Win32.Breacuk.E@mm, WORM_BEAKER.B
Fecha: 25/dic/04
Plataforma: Windows 32-bit
Tamaño: 19,643 bytes
Gusano que se propaga por correo electrónico, con asuntos y mensajes en diferentes idiomas, entre ellos español.
Para enviarse a otros equipos, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), de tal modo que no importa que cliente de correo se tenga instalado.
Para propagarse, busca direcciones de correo en diferentes archivos del sistema.
El gusano crea múltiples copias de si mismo con nombres al azar en el sistema infectado. Sin embargo la presencia de un archivo B6.LOG y el archivo CODM sin extensión en la carpeta TASKS de Windows, pueden ser un indicio de infección.
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El gusano puede presentarse en mensajes con las siguientes características:
De: [uno de los siguientes nombres falsos]
Abelardo
Aberto
Andrew
Annina
Astrid
Augusta
Baiardo
Bandini
Brad
Calino
Carl
cio
Cipriano
Charlize
Chele
Dalia
Damiano
Dorum
Eldonia
Elmo
Erwin
Fabio
Fabr
Gabriele
Gillaine
Glor
Heinrich
Henry
Ivone
Jader
JCarlos
Jenni
Jos
Karl
Kelson
Klaus
Leeroy
Liam
lida
lie
Ludwig
Luis
Mar
Marta
Michael
Nerea
Oskar
Parph
Paula
Pedro
Pepe
Rafael
Richard
Sara
Tom
ucena
vina
Wilburge
Wilhem
William
Wolfgang
Yvonnelle
Asunto: [uno de los siguientes]
- deseja um ano feliz!
- lei desidera un anno felice!
- Te deseo un feliz a
- U wenst een gelukkig jaar!
- Vous dTsirez une annTe heureuse!
- You desire a happy year!
Texto del mensaje: [uno de los siguientes]
- ¡¡Buon Natale!!
- ¡¡Feliz Navidad!!
- ¡¡Joyeux Noel!!
- ¡¡Merry Christmas!!
- ¡¡Natal feliz!!
- ¡¡Vrolijke Kerstmis!!
Datos adjuntos: [uno de los siguientes]
Brief_Kerstmis5.zip
carta_navidad551.zip
l578.zip
letter_Christmas512.zip
Natal_de_letra1.zip
Natale_di_lettera21.zip
Cuando el contenido del adjunto es ejecutado (doble clic), el gusano se copia varias veces, todas con nombres al azar, en las siguientes carpetas del sistema:
c:\windows\system32\Fonts
c:\windows\system32\ServicePackFiles\i386
c:\windows\system32\system
c:\windows\system32\system32
c:\windows\system32\Tasks
Además, se copia a si mismo con los siguientes nombres en las siguientes ubicaciones:
c:\windows\system32\$NtServicePackUninstall$\cmd.exe
c:\windows\system32\$NtServicePackUninstall$\msconfig.exe
c:\windows\system32\$NtServicePackUninstall$\regedit.exe
c:\windows\system32\$NtServicePackUninstall$\taskmgr.exe
c:\windows\system32\$NtServicePackUninstall$\wupdmgr.exe
c:\windows\system32\command.com
c:\windows\system32\PCHEALTH\HELPCTR\Binaries\msconfig.exe
c:\windows\system32\regedit.exe
c:\windows\system32\ServicePackFiles\i386\cmd.exe
c:\windows\system32\ServicePackFiles\i386\msconfig.exe
c:\windows\system32\ServicePackFiles\i386\regedit.exe
c:\windows\system32\ServicePackFiles\i386\taskmgr.exe
c:\windows\system32\system\msconfig.exe
c:\windows\system32\system\systray.exe
c:\windows\system32\system32\cmd.exe
c:\windows\system32\system32\dllcache\cmd.exe
c:\windows\system32\system32\dllcache\regedit.exe
c:\windows\system32\system32\dllcache\regedt32.exe
c:\windows\system32\system32\dllcache\taskmgr.exe
c:\windows\system32\system32\dllcache\wupdmgr.exe
c:\windows\system32\system32\regedt32.exe
c:\windows\system32\system32\taskmgr.exe
c:\windows\system32\system32\wupdmgr.exe
c:\windows\system32\wupdmgr.exe
Crea una copia comprimida (.ZIP) de si mismo
con el nombre de B6.LOG en la siguiente ubicación:
c:\windows\system32\Tasks\b6.log
Crea la siguiente copia de si mismo en
formato Base64:
c:\windows\Tasks\codm
Para asegurarse de autoejecución en cada reinicio de Windows, crea las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\system32\Tasks\[nombre].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\system32\Fonts\[nombre].exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\system32\System\[nombre].exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\system32\System32\[nombre].exe"
Donde "?????" son caracteres al azar, y el [nombre] del gusano es uno de los archivos creados antes también con nombres al azar.
Para propagarse por correo electrónico se envía a si mismo en mensajes como el ya descrito, a las direcciones encontradas en archivos con las siguientes extensiones del equipo infectado:
.adb
.ade
.asp
.avi
.bak
.bas
.bat
.bin
.bmp
.cfg
.cgi
.cls
.cmd
.com
.css
.csv
.ctl
.ctt
.dat
.dbx
.dhtm
.doc
.eml
.fdb
.frm
.htm
.html
.ihm
.imb
.img
.inf
.ini
.iso
.jpg
.js
.jsp
.log
.logs
.lst
.mda
.mdb
.mdw
.mdx
.mp3
.mpg
.msg
.msi
.nch
.nfo
.nrg
.nws
.oft
.pdf
.php
.pif
.pl
.pmr
.ppt
.rar
.rft
.rpt
.rtf
.scr
.sfc
.sht
.shtm
.swf
.tbb
.txt
.uni
.url
.vap
.vbs
.vcf
.wab
.wma
.wsh
.xls
.xml
.zip
Evita propagarse a direcciones electrónicas que contengan las siguientes cadenas en sus nombres:
antivirus
avp
bitdefender
box
compuserve
conclase
cracks
domain
dominio
dominiosfree
eListas
europe
gedzac
gnu
home
izhal
kaspersky
kernel
linux
list
mcafee
microsoft
MICROSOFT
no-ip
norman
norton
panda
pandasoft
phreaker
secure
security
securityfocus
seguridad
server
servidor
sophos
steels
symantec
unix
virus
virus-l
zackyfiles
Cuando detecta una conexión a Internet, abre el navegador para intentar mostrar las siguientes imágenes:
http://www.?????xed.net/schools/Intermediate/Specials/Assets/navidad.gif
http://www.?????bitacora.com/sanber%20navidad.gif
http://www.?????.es/~masa/tvs/navidad/navidad2b.gif
Para no ejecutarse más de una vez en memoria, el gusano crea el siguiente mutex:
-=BreaKer=-
Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el virus desde el momento de ocurrida la infección, hasta el momento de su detección.
Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales de Windows
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|