Asunto: Microsoft Windows OutLook Express urgent updates
Datos adjuntos: AV_PATCH.EXE

Texto:
There is a new virus spreading called Win32.darkirc
virus. This email was sent to you as a precaution as
ur version of OutLook Express has not been updated.
Patch available attached to the email

Cuando se ejecuta, el gusano se copia en la siguiente carpeta:

c:\windows\svchost.exe

NOTA 1: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000).

NOTA 2: SVCHOST.EXE (Generic Host Process for Win32 Services), es también un archivo legítimo de Windows XP, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. No borre este archivo.

También agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Service Process = c:\windows\svchost.exe

El gusano deshabilita el editor del registro (REGEDIT.EXE), modificando las siguientes entradas:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001

Esto produce el mensaje "El administrador ha deshabilitado la edición del registro" cuando se intenta ejecutar REGEDIT.

El gusano intenta propagarse por los siguientes programas de intercambio de archivos entre usuarios:

Grogster
KaZaA
KaZaA Lite
Morpheus

Para ello, busca las siguientes carpetas dentro de "C:\Archivos de programa" o "C:\Program Files", y se copia en ellas con los nombres que siguen:

Carpeta:

\Morpheus\My Shared Folder\

Nombres de archivos:

Adobe_crack_.exe
crack_database(1000scracks).exe
Dmx - Who the let the dogs out(funny).exe
HotMail_password_hack(NEW!!!).exe
Jay z - crazy in love.mov.exe
live_fuck_tv(v2).exe
Mp3_Mixer(v3).exe
Msn_instant_messager_pass_crack.exe
Password_cracker(doesnt_work_on_nt).exe
PasswordCracker.exe
Porn_Search_engine.exe
PornWebsite_Pass_crack_v1.23beta.exe
SlimShady Game.exe
Teen sex Having her breasts fucked and blowjob.exe
Xmusic Ultimate porn , games , movies Search engine.exe
XP crack setup.exe

Carpeta:

\KaZaA\My Shared Folder\

Nombres de archivos:

Adobe_crack_.exe
Crackdatabase(1000scracks).exe
DjSoftware.exe
Hot Pink Pussy Very tight chick fucking her boyfriend on 
the bed. Great sex clip.exe
Hotmail_Hacker.exe
HotMail_password_hacker.exe
Jenna jameson Tit Fuck Sex Ultimate porn movie.mpeg.exe
Kill backstreet boys(Eminem game).exe
Mp3_Mixer.exe
Mp3Mixer(good).exe
Msn_instant_messager_pass_crack.exe
Password_cracker(doesnt_work_on_nt).exe
PassWordCracker.exe
Porn_Search_engine.exe
PornWebsite_Pass_crack_v1.23beta.exe
Teen fucking hard.avi.exe
Tit_test(Porn_game).exe
Windows Xp Crack.exe

Carpeta:

\Grokster\My Grokster\

Nombres de archivos:

Adobe_crack_.exe
Crack_hack_database(1000sCracksHacks).exe
Half_life_walk_through_walls_proxy.exe
HalfLife.exe
HotMail_password_hacker(NEW!!!).exe
Mp3_Mixer_.exe
Msn_instant_messager_pass_crack.exe
Password_cracker(doesnt_work_on_nt).exe
Porn_search_engine(2003edition).exe
PornWebsite_Pass_crack_v1.23beta.exe
Windows Xp crack.exe

Carpeta:

\KaZaA Lite\My Shared Folder\

Nombres de archivos:

Adobe_crack_.exe
Asian-porn-finder.exe
britney spears tit game (funny as hell).exe
Crackdatabase(1000scracks).exe
DjSoftware.exe
dr dre & nwa - fuck the police.mp3.exe
Great Sex Movie Viewier NO Credit Cards (LESBIAN ,
HARDCORE , TEENSEX , FUCK ,BLOWJOB).exe
HalfLife Counter strike Auto Aim-v4.3.exe
Hotmail_Hacker.exe
HotMail_password_hacker(NEW!!!).exe
Jenna jameson Tit Fuck Sex Ultimate porn movie.mpeg.exe
Mp3_Mixer.exe
Mp3Mixer(good).exe
Msn_instant_messager_pass_crack.exe
Password_cracker(doesnt_work_on_nt).exe
PassWordCracker.exe
Porn_Search_engine.exe
PornWebsite_Pass_crack_v1.23beta.exe
Windows Xp Crack.exe
Xscan setup(Windows Hacker).exe

Luego, intenta conectarse a servidortes de IRC predeterminados en su código, y queda a la espera de los comandos enviados por un usuario en forma remota, quien podrá tomar el control de la computadora infectada.

Algunas de las acciones posibles para el atacante:

• Capturar todo lo tecleado por la víctima
• Descargar y ejecutar archivos
• Enviar al propio gusano vía correo electrónico con las características vistas antes, a todos los contactos de la libreta de direcciones (utiliza las rutinas MAPI)
• Finalizar el software antivirus en ejecución
• Obtener la información del sistema infectado
• También puede finalizar cualquier proceso con los siguientes nombres:
  
  _avp32.exe
  _avpcc.exe
  _avpm.exe
  ackwin32.exe
  advxdwin.exe
  agentsvr.exe
  agentw.exe
  ahnsd.exe
  alerter
  alertsvc.exe
  alogserv.exe
  amon9x.exe
  anti-trojan.exe
  antivirus.exe
  ants.exe
  apimonitor.exe
  aplica32.exe
  apvxdwin.exe
  atcon.exe
  atguard.exe
  atro55en.exe
  atupdater.exe
  atwatch.exe
  aupdate.exe
  autodown.exe
  autotrace.exe
  autoupdate.exe
  avconsol.exe
  avgcc32.exe
  avgctrl.exe
  avgserv
  avgserv.exe
  avgserv9.exe
  avgw.exe
  avkpop.exe
  avkserv.exe
  avkservice.exe
  avkwcl9.exe
  avkwctl9.exe
  avp.exe
  avp32.exe
  avpcc.exe
  avpexec.exe
  avpinst.exe
  avpm.exe
  avpupd.exe
  avrescue.exe
  avsched32.exe
  avsynmgr
  avsynmgr.exe
  avwinnt.exe
  avxmonitor9x.exe
  avxmonitornt.exe
  avxquar.exe
  avxquar.exe.exe
  avxw.exe
  bd_professional.exe
  bidef.exe
  bidserver.exe
  bipcp.exe
  bipcpevalsetup.exe
  bisp.exe
  blackd.exe
  blackice.exe
  bootwarn.exe
  borg2.exe
  bs120.exe
  ccapp.exe
  ccevtmgr.exe
  ccpxysvc.exe
  cdp.exe
  cfgwiz.exe
  cfiadmin.exe
  cfiaudit.exe
  cfinet.exe
  cfinet32.exe
  claw95.exe
  claw95cf.exe
  clean.exe
  cleaner.exe
  cleaner3.exe
  cleanpc.exe
  cmgrdian.exe
  cmon016.exe
  connectionmonitor.exe
  cpd.exe
  cpdclnt.exe
  cpf9x206.exe
  cpfnt206.exe
  csinject.exe
  csinsm32
  css1631.exe
  ctrl.exe
  cv.exe
  cwnb181.exe
  cwntdwmo.exe
  defalert.exe
  defscangui.exe
  defwatch.exe
  deputy.exe
  doors.exe
  dpf.exe
  drwatson.exe
  drweb32.exe
  dvp95.exe
  dvp95_0.exe
  efpeadm.exe
  ent.exe
  escanh95.exe
  escanhnt.exe
  escanv95.exe
  etrustcipe.exe
  evpn.exe
  exantivirus-cnet.exe
  expert.exe
  f-agnt95.exe
  fameh32.exe
  fast.exe
  fch32.exe
  fih32.exe
  firewall.exe
  fix-it.exe
  flowprotector.exe
  fnrb32.exe
  f-prot.exe
  f-prot95.exe
  fp-win.exe
  fp-win_trial.exe
  frw.exe
  fsaa.exe
  fsav.exe
  fsav32.exe
  fsav530stbyb.exe
  fsav95.exe
  fsave32.exe
  fsgk32.exe
  fsgk32.exe
  fsm32.exe
  fsma32.exe
  fsmb32.exe
  f-stopw.exe
  fwenc.exe
  gbmenu.exe
  gbpoll.exe
  generics.exe
  guard.exe
  guarddog.exe
  hacktracersetup.exe
  htlog.exe
  hwpe.exe
  iamapp.exe
  iamserv.exe
  iamstats.exe
  icload95.exe
  icloadnt.exe
  icmon.exe
  icsupp95.exe
  icsuppnt.exe
  iface.exe
  ifw2000.exe
  iomon98.exe
  iparmor.exe
  iris.exe
  isrv95.exe
  jammer.exe
  jedi.exe
  kavlite40eng.exe
  kavpers40eng.exe
  kerio-pf-213-en-win.exe
  kerio-wrl-421-en-win.exe
  kerio-wrp-421-en-win.exe
  killprocesssetup161.exe
  ldnetmon.exe
  ldpro.exe
  ldpromenu.exe
  ldscan.exe
  localnet.exe
  lockdown.exe
  lockdown2000.exe
  lsetup.exe
  luall.exe
  luau.exe
  lucomserver.exe
  luinit.exe
  luspt.exe
  mcagent.exe
  mcmnhdlr.exe
  mcshield.exe
  mctool.exe
  mcupdate.exe
  mcvsrte.exe
  mcvsshld.exe
  mfw2en.exe
  mfweng3.02d30.exe
  mgavrtcl.exe
  mgavrte.exe
  mghtml.exe
  mgui.exe
  minilog.exe
  monitor.exe
  monsys32.exe
  monsysnt.exe
  monwow.exe
  moolive.exe
  mpfagent.exe
  mpfservice.exe
  mpftray.exe
  mrflux.exe
  msinfo32.exe
  mssmmc32.exe
  mu0311ad.exe
  mwatch.exe
  mxtask.exe
  nav80try.exe
  navap
  navapsvc
  navapsvc.exe
  navapw32.exe
  navauto-protect
  navdx.exe
  naveng
  navengnavex15
  navex15
  navlu32.exe
  navrunr.exe
  navstub.exe
  navw32.exe
  navwnt.exe
  nc2000.exe
  ncinst4.exe
  ndd32.exe
  neomonitor.exe
  neowatchlog.exe
  netarmor.exe
  netinfo.exe
  netmon.exe
  netscanpro.exe
  netspyhunter-1.2.exe
  netstat.exe
  netutils.exe
  nisserv.exe
  nisum.exe
  nmain.exe
  normist.exe
  norton_internet_secu_3.0_407.exe
  notstart.exe
  npf40_tw_98_nt_me_2k.exe
  npfmessenger.exe
  nprotect.exe
  npscheck.exe
  npssvc.exe
  nsched32.exe
  ntrtscan.exe
  ntvdm.exe
  ntxconfig.exe
  nui.exe
  nupgrade.exe
  nvapsvc
  nvarch16.exe
  nvc95.exe
  nvlaunch.exe
  nvsvc32
  nwinst4.exe
  nwservice.exe
  nwtool16.exe
  offguard.exe
  ostronet.exe
  outpost.exe
  outpostinstall.exe
  outpostproinstall.exe
  padmin.exe
  panixk.exe
  pathping.exe
  pavproxy.exe
  pavproxy.exe
  pcc2002s902.exe
  pcc2k_76_1436.exe
  pccclient.exe
  pccguide.exe
  pcciomon.exe
  pccntmon.exe
  pccpfw
  pccwin97.exe
  pccwin98.exe
  pcdsetup.exe
  pcfwallicon.exe
  pcip10117_0.exe
  pcscan.exe
  pcscan.exepdsetup.exe
  periscope.exe
  persfw.exe
  perswf.exe
  pf2.exe
  pfwadmin.exe
  ping.exe
  pingscan.exe
  platin.exe
  pop3trap.exe
  poproxy.exe
  popscan.exe
  portdetective.exe
  portmonitor.exe
  ppinupdt.exe
  pptbc.exe
  ppvstop.exe
  processmonitor.exe
  procexplorerv1.0.exe
  programauditor.exe
  proport.exe
  protectx.exe
  pspf.exe
  purge.exe
  pview95.exe
  qconsole.exe
  qserver.exe
  rapapp.exe
  rav7.exe
  rav7win.exe
  rav8win32eng.exe
  realmon.exe
  rescue.exe
  rescue32.exe
  route.exe
  routemon.exe
  rrguard.exe
  rshell.exe
  rtvscn95.exe
  rulaunch.exe
  safeweb.exe
  sbserv.exe
  scan32.exe
  schedapp.exe
  scrscan.exe
  sd.exe
  setup_flowprotector_us.exe
  setupvameeval.exe
  sfc.exe
  sgssfw32.exe
  sh.exe
  sharedaccess
  shellspyinstall.exe
  shn.exe
  smc.exe
  sofi.exe
  spf.exe
  sphinx.exe
  sphinx.exe
  spyxx.exe
  srwatch.exe
  ss3edit.exe
  st2.exe
  supftrl.exe
  supporter5.exe
  sweep95.exe
  sweepnet
  sweepsrv.sys
  swnetsup.exe
  symproxysvc.exe
  symtray.exe
  sysdoc32.exe
  sysedit.exe
  taskmon.exe
  taumon.exe
  tauscan.exe
  tc.exe
  tca.exe
  tcm.exe
  tds2-98.exe
  tds2-nt.exe
  tds-3.exe
  tfak.exe
  tfak5.exe
  tgbob.exe
  titanin.exe
  titaninxp.exe
  tmntsrv
  tracerpt.exe
  tracert.exe
  trjscan.exe
  trjsetup.exe
  trojantrap3.exe
  uh`s@d
  undoboot.exe
  update.exe
  vbcmserv.exe
  vbcons.exe
  vbust.exe
  vbwin9x.exe
  vbwinntw.exe
  vccmserv.exe
  vcsetup.exe
  vet32.exe
  vet95.exe
  vettray.exe
  vfsetup.exe
  vir-help.exe
  virusmdpersonalfirewall.exe
  vnlan300.exe
  vnpc3000.exe
  vpc32.exe
  vpc42.exe
  vpfw30s.exe
  vptray.exe
  vscenu6.02d30.exe
  vsched.exe
  vsecomr.exe
  vshwin32.exe
  vsisetup.exe
  vsmain.exe
  vsmon.exe
  vsstat.exe
  vswin9xe.exe
  vswinntse.exe
  vswinperse.exe
  vvstat.exe
  w32dsm89.exe
  w9x.exe
  watchdog.exe
  webscanx.exe
  webtrap.exe
  wgfe95.exe
  whoswatchingme.exe
  wimmun32.exe
  winrecon.exe
  winroute
  winsfcm.exe
  wnt.exe
  wradmin.exe
  wrctrl.exe
  wsbgate.exe
  wyvernworksfirewall.exe
  xpf202en.exe
  zapro.exe
  zapsetup3001.exe
  zatutor.exe
  zauinst.exe
  zonalm2601.exe
  zonealarm.exe

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Editar el registro

1. Descargue el siguiente archivo (Repara.reg):

http://www.videosoft.net.uy/repara.reg

2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro.

3. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Service Process

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

IMPORTANTE

Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano.


Activar cortafuegos de Windows XP (Internet Conexión Firewall)

NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa.

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.

2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".

4. Seleccione Aceptar, etc.


Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com