C:\CyberWolf.exe

Además, crea otras copias de si mismo en el directorio System de Windows:

C:\Windows\System\explorer.exe
C:\Windows\System\system.exe
C:\Windows\System\Kernell32.exe
C:\Windows\System\system32.exe
C:\Windows\System\systems.exe
C:\Windows\System\service.exe
C:\Windows\System\regedit32.exe
C:\Windows\System\CyberWolf.exe
C:\Windows\System\Windows.scr
C:\Windows\System\Ms-Dos.com

También crea una carpeta llamada "Windows Security Haches" dentro de la carpeta Windows:

C:\Windows\Windows Security Haches

Dentro de esta carpeta, se copia con los siguientes nombres:

Crackologic(all windows Apps).exe
Credit Card Numbers generator(incl Visa,MasterCard,...).exe
CyberWolf-Patch.exe
EA Games Keygen for All versions(only EA).exe
Edonkey2000-Speed me up scotty.exe
Free mem-Games-SpeedUP.exe
Hotmail Hacker 2003-Xss Exploit.exe
Imesh SDK+Xbit Speed Up.exe
Kazaa SDK + Xbit speedUp for 2.xx.exe
Microsoft KeyGenerator-Allmost all microsoft stuff.exe
My Kiss for you.scr
Netbios Nuker 2003.exe
PopUp remover 9.25.exe
Security-2003-Update.exe
Stripping MP3 dancer+crack.exe
The CyberWolf-Joke.scr
Visual Basic 6.0 Msdn Plugin.exe
W32.CyberWolf@mm Fix.exe
Windows Xp Exploit.exe
WinRar 3.xx Password Cracker.exe
WinZipped Visual C++ Tutorial.exe
XNuker 2003 2.93b.exe

Luego, crea múltiples copias de si mismo en la carpeta System de Windows, con nombres largos generados al azar, y con algunas de las siguientes extensiones:

.BCY
.DLL
.DSI
.EXE
.JXL
.KQX
.MGP
.MSI
.SCR
.SQL
.SYS
.XWP
.YQB
.ZMRM

También crea el siguiente archivo en la carpeta de archivos temporales de Windows:

C:\Windows\TEMP\Windows Media Player Plugin.exe

Finalmente, el gusano borra el archivo RUNDLL32.EXE de la carpeta Windows.

Para ejecutarse al reiniciarse Windows, el gusano modifica el archivo WIN.INI, bajo la sección [MCI Extensions.BAK]. Allí cambia el valor de las siguientes entradas:

mpg=MPEGVideo  la cambia por:  mpg=CyberWolf
Mpeg=MPEGVideo la cambia por:  Mpeg=CyberWolf
mp3=MPEGVideo  la cambia por:  mp3=CyberWolf
Wma=MPEGVideo2 la cambia por:  Wma=CyberWolf

Crea además la siguiente entrada:

CyberWolf=CyberWolf

También modifica el archivo SYSTEM.INI, agregando las siguientes líneas bajo la etiqueta "[driver32]":

[driver32]
Cyberwolf=W32.CyberWolf@mm
Has=Infected you

El gusano también agrega la siguiente entrada en el registro de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CyberWolf = C:\WINDOWS\CyberWolf.exe
Windows Systems Service = C:\WINDOWS\SYSTEM\service.exe
Windows Kernell = C:\WINDOWS\SYSTEM\Kernell32.exe
dllhost = C:\WINDOWS\SYSTEM\dllhost.exe
Windows Installer Service = C:\WINDOWS\SYSTEM\msiexec.exe

También modifica el registro para asociar los archivos con extensión .EXE (la mayoría de los ejecutables que utilizan Windows y las aplicaciones), con el código del propio gusano. De este modo, el virus se ejecuta siempre antes que se llame a un programa cualquiera.

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = C:\WINDOWS\CyberWolf.exe "%1" %*

El gusano busca cualquiera de las siguientes carpetas compartidas con otros usuarios mediante programas P2P como KaZaa, Bearshare, Grokster, Morpheus, eDonkey2000 y Limewire.

KaZaa\My shared Folder\
Bearshare\Shared\
Grokster\My Grokster\
Morpheus\My Shared Folder\
eDonkey2000\Incoming\
limewire\Shared\

También crea alguno de los siguientes archivos en la carpeta "C:\Archivos de programa":

\limewire\Shared\CrackOlogic(all windows apps).exe
\limewire\Shared\Credit card Generator
\limewire\Shared\Lunix-Download.exe
\Morpheus\My Shared Folder\Netbios Exploiter Xp.exe
\Morpheus\My Shared Folder\Chaos Ip.exe
\Morpheus\My Shared Folder\WebSeek-Mp3.exe
\Morpheus\My Shared Folder\Morpheus-Gold.exe
\Grokster\My Grokster\Xss security exploit-hotmail.exe
\Grokster\My Grokster\NetScan 1.6.exe
\Grokster\My Grokster\Winrar 3.xx password cracker.exe
\Grokster\My Grokster\Trojan Utility 5.6.exe
\Grokster\My Grokster\Stripping mp3 dancer+crack.exe
\Grokster\My Grokster\Grokster ad-remover.exe
\Bearshare\Shared\Netbios Nuker 2003.exe
\Bearshare\Shared\Chaos Ip 2003-Xp compitable.exe
\Bearshare\Shared\XNuker 2003 2.93b.exe
\Bearshare\Shared\BearShare Pro 4.3.1 Beta Version.exe
\Bearshare\Shared\Hotmail Hacker 2003-Xss Exploit.exe
\eDonkey2000\Incoming\EA Games Keygen for All versions(only EA).exe
\eDonkey2000\Incoming\WinRar 3.xx Password Cracker.exe
\eDonkey2000\Incoming\Netbios Nuker 2003.exe
\eDonkey2000\Incoming\Hotmail Hacker 2003-Xss Exploit.exe
\eDonkey2000\Incoming\Edonkey2000-Ad remover.exe

La rutina de envío vía e-mail falla por un error en su código. El mensaje enviado tendría alguno de los siguientes asuntos:

• w32/CyberWolf@mm is the newest virus...
• PacketStorm:WINDOWS Xp has several exploits
• A Virtual joke...the funniest around!
• A kiss from me to you

Y alguno de los siguientes archivos adjuntos:

• CyberWolf-Patch.exe.
• Windows Xp Exploit.exe
• The CyberWolf-Joke.scr
• My Kiss for you.scr

Luego, el gusano muestra un falso error del programa, para disimular su verdadera acción:

Fatal Error in Windows Kernell

Fatal Error in Windows Kernell
Please allow a 10 MINUTES access for windows to send an
error report to microsoft in hope they solve this error
This operation could take a few moments but it will help
microsoft to make an Windows Update
If a dialog is prompted from MS Outlook then please click
the yes button to allow Windows to send the e-mail!

[    OK    ]

Una vez que el usuario pincha en el botón de OK, el gusano procede a ejecutar múltiples copias de si mismo hasta que el sistema colapsa por falta de recursos disponibles, o sea al agotarse la memoria disponible.

El gusano realiza además los siguientes cambios en el registro:

HKEY_CURRENT_USER\Software\CyberWolf

HKEY_CURRENT_USER\Software\
Windows with data CyberWolf = "You are Biten"

HKEY_CURRENT_USER\Software\Microsoft\
MSNMessengerServer = "www.hotmail.com;64.4.44.7:80"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CyberWolf
CyberWolf = "You are Biten"

Luego, crea otro componente, CYBERWOLF.BAT (detectado como BAT/Cydog.B). Este BAT tiene las instrucciones para borrar archivos con extensiones .EXE y .DLL cuando se ejecuta. El borrado es realizado dos veces en cada ejecución.

El gusano también crea el archivo de texto CYBERWOLF.TXT que solo contiene un mensaje del autor del gusano.


Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = C:\WINDOWS\CyberWolf.exe "%1" %*

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (C:\WINDOWS\CyberWolf.exe) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

7. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

9. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:

CyberWolf
Windows Systems Service
Windows Kernell
dllhost
Windows Installer Service

10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

11. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\CyberWolf

12. Pinche en la carpeta "Cyberwolf" y bórrela.

13. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Windows

14. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", borre la siguiente entrada:

CyberWolf

15. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\MSNMessenger

16. Pinche en la carpeta "MSNMessenger" y en el panel de la derecha, bajo la columna "Nombre", borre la siguiente entrada:

Server

17. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CyberWolf

18. Pinche en la carpeta "CyberWolf" y bórrela.

19. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows

20. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", borre la siguiente entrada:

CyberWolf

21. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

22. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo WIN.INI y SYSTEM.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque la siguiente etiqueta:

[MCI Extensions.BAK]

3. Bajo esta clave, modifique las siguientes entradas:

mp3 = CyberWolfW
mpeg = CyberWolf
mpg = CyberWolf
wma = CyberWolf
CyberWolf = CyberWolf

Cámbielas por las siguientes:

mp3 = MPEGVideo
mpeg = MPEGVideo
mpg = MPEGVideo
wma = MPEGVideo2

4. Borre la entrada "CyberWolf = CyberWolf"

5. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

6. Abra el archivo SYSTEM.INI bajo la etiqueta "[driver32]" y borre las líneas que contengan lo siguiente:

[driver32]
Cyberwolf=W32.CyberWolf@mm
Has=Infected you
Running Trend Micro Antivirus

7. Reinicie su computadora.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com