Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/CHowl. Se propaga por redes P2P, finaliza antivirus
 
VSantivirus No. 964 - Año 7 - Miércoles 26 de febrero de 2003

W32/CHowl. Se propaga por redes P2P, finaliza antivirus
http://www.vsantivirus.com/chowl.htm

Nombre: W32/CHowl
Tipo: Gusano de Internet
Alias: W32/Chowl@mm, I-worm.chowl@mm
Plataforma: Windows 32-bits
Tamaño: 34,304 bytes
Fecha: 25/feb/03

Este gusano posee la capacidad de propagarse a través del correo electrónico a todos los contactos de la libreta de direcciones de Microsoft Outlook y Outlook Express, así como a través de las redes de intercambio de archivos P2P.

También intenta detener algunos procesos relacionados con conocidos antivirus.

Escrito en Visual Basic, al ser ejecutado, se copia a sí mismo dentro del directorio System de Windows con los siguientes nombres:

c:\windows\system\cyberwolf.exe
c:\windows\system\explorer.exe
c:\windows\system\kernell32.exe
c:\windows\system\ms-dos.com
c:\windows\system\regedit32.exe
c:\windows\system\service.exe
c:\windows\system\system.exe
c:\windows\system\system32.exe
c:\windows\system\systems.exe
c:\windows\system\windows.scr

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Luego busca las carpetas compartidas de conocidas aplicaciones de intercambio de archivos como KaZaa, Bearshare, Grokster, Morpheus, eDonkey2000 y Limewire.

Crea multitud de copias de si mismo en el directorio System, con nombres generados al azar, tipo "Adt7900tkkgkkygfsh.dsi", "Ab7yhgkldpsp567391.exe", etc...

Para ejecutarse en forma automática cada vez que Windows es reiniciado, crea las siguientes claves en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CyberWolf = C:\WINDOWS\CyberWolf.exe
dllhost = C:\WINDOWS\SYSTEM\dllhost.exe
Windows Installer Service = C:\WINDOWS\SYSTEM\msiexec.exe
Windows Kernell = C:\WINDOWS\SYSTEM\Kernell32.exe
Windows Systems Service = C:\WINDOWS\SYSTEM\service.exe

También modifica la asociación con archivos .EXE, de modo que cada vez que un ejecutable sea llamado, se ejecute antes el propio gusano:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = C:\WINDOWS\CyberWolf.exe "%1" %*

Luego, muestra el siguiente mensaje:

Fatal Error in Windows Kernell

Fatal Error in Windows Kernell
Please allow a 10 MINUTES access for windows to send an
error report to microsoft in hope they solve this error
This operation could take a few moments but it will help
microsoft to make an Windows Update
If a dialog is prompted from MS Outlook then please click
the yes button to allow Windows to send the e-mail!

[   OK   ]

Si se pulsa en [  OK  ], el gusano se autoenvía a todas las direcciones de la libreta del Outlook, en un mensaje formado con los siguientes componentes:

Asunto (uno de los siguientes):

w32/CyberWolf@mm is the newest virus...
PacketStorm:WINDOWS Xp has several exploits
A Virtual joke...the funniest around!
A kiss from me to you

Archivo adjunto (uno de los siguientes):

CyberWolf-Patch.exe.
Windows Xp Exploit.exe
The CyberWolf-Joke.scr
My Kiss for you.scr

El texto del mensaje varía en relación al Asunto seleccionado. El adjunto infectado posee un icono en el Escritorio de Windows.

El gusano busca en memoria procesos de conocidos antivirus, e intenta finalizarlos.

También crea un archivo de texto y agrega un acceso directo al mismo en el escritorio. El contenido es un mensaje del autor del virus.

Finalmente, lanza múltiples hilos de si mismo (diferentes ejecuciones del mismo archivo), lo que puede agotar los recursos disponibles y causar el cuelgue del sistema.


Reparación manual

Para eliminar el gusano de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Classes
exefile
shell
open
command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) C:\WINDOWS\CyberWolf.exe "%1" %*

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (C:\WINDOWS\CyberWolf.exe) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER\
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

CyberWolf
dllhost
Windows Installer Service
Windows Kernell
Windows Systems Service

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\cyberwolf.exe
c:\windows\system\explorer.exe
c:\windows\system\kernell32.exe
c:\windows\system\ms-dos.com
c:\windows\system\regedit32.exe
c:\windows\system\service.exe
c:\windows\system\system.exe
c:\windows\system\system32.exe
c:\windows\system\systems.exe
c:\windows\system\windows.scr

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS