Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Duni (Kitro.C). Asuntos en español, y adjunto .CPL
 
VSantivirus No. 726 - Año 6 - Miércoles 3 de julio de 2002

W32/Duni (Kitro.C). Asuntos en español, y adjunto .CPL
http://www.vsantivirus.com/duni.htm

Nombre: W32/Duni (Kitro.C)
Tipo: Gusano de Internet
Alias: W32.Duni.Worm, I-Worm.Daduni, Win32/Daduni, W32/Dadinu, W32/Bandera.B@MM, W32/Bandera.B, W32/Duni-A, I-Worm.Duni, Win32.Kitro.B, Win32/Duni.A, Win32/Kitro.B.Trojan, I-Worm.Kitro.c
Variantes: W32/Kitro.A, W32.Kitro.A.Worm, W32.Kitro.B.Worm, W32.Kitro.D.int, W32.Kitro.gen, VBS.Kitro@mm, W32.Kitro.C.Worm
Fecha: 2/jul/02
Tamaño: 236,032 bytes (UPX)
Plataformas: Windows 32-bits

Es un gusano de Internet, programado en Delphi, que llega en un adjunto infectado y con extensión .CPL (Control Panel Applet), los archivos del Panel de control. El nombre del virus está derivado de la cadena "unidadworm", localizada en su código.

Puede llegar en una gran variedad de mensajes, con diferentes asuntos, seleccionados de la siguiente lista:

Esta si que es zorra!!! 

Fotos de asesinatos, Jack el Destripador, Charles Manson, y muchos mas para decorar tu escritorio. 

Yeahhh Mutha Facka... NY Brookling in your NET.

Genera passwords para poder entrar a las webs mas putonas de la red, y gratis, incluso podras bajar peliculas porno.

Para los verdaderos amigos...

Test de amor.

30 pregutas para saber si tu pareja te enga

!La imagen de cristo en un bosque.

mira como seria un mundial en la antigua mesopotamia.

Fotos de Cristo para decorar tu escritorio.

Te han enviado una postal.

Te acuerdas de mi?

Asi se hace el amor...

Asi me gusta a mi...

Esto doleria mucho, mucho :-).

Si esto no me lo regresas me sentire mal.

La vida despues de la muerte.

Me cambie de correo, aver si ahora me escribes...

Leelo y reenvialo a quienes mas amas.

Cancion de amor, para ti.

Paulina Rubio y su zorrita cosmica...

No todo lo que uno lea sobre el servicio de webmail de Microsoft es cierto.

!Ver el listado de falsas alarmas.

!ja, la han cagado con este video.

Bin Laden DT de la seleccion de arabia...

Bin Laden nuevo goliador de Arabia saudita , jaaaaaaa.

Bin Laden presidente de la FIFA.

Dime que te parece esta animacion.

Una broma para las secretarias, ja ja.

Test para secretarias, para saber que tan tontas son.

41 preguntas para saber si alguien es sicopata.

mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.

listado de ultimas mentiras que circulan por los mails.

Last hoaxes list.

Hola

como te gustarian este par de tetitas.

Leelo y reenvialo a quienes mas amas.

mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.

listado de ultimas mentiras que circulan por los mails.

Bin Laden killing muthaFaka bill gates.

El adjunto, puede tener alguno de estos nombres:

zorrita.cpl 
jack.cpl 
sickofitall.cpl 
analpasswords.cpl 
poema_angelical.cpl 
testdeamor.cpl 
Adulterio_en_tus_narices.cpl 
Cristo.cpl 
mundial.cpl 
cristo2002.cpl 
postal_de_mi_alma.cpl 
estesoyyo.cpl 
milposiciones.cpl 
como_como.cpl 
por_ahi_noooooo.cpl 
lomasimportante.cpl 
vidaymuerte.cpl 
siemprevivir@setnet.cpl 
milvidas.cpl 
comoolvidarte.cpl 
paulinasex.cpl 
mentiras_en_hotmail.cpl 
listado_de_hoaxes.cpl 
zapato_en_el_culo.cpl 
binladenDT.cpl 
gooooooool.cpl 
Fifaladen.cpl 
788782.cpl 
secretarias.cpl 
test_secretontas.cpl 
sere_yo_uno_de_esos.cpl 
scarycrai.cpl 
mentiras_mails.cpl 
mcaffehoaxlist.cpl 
tetris2002.cpl 
zandias_meloones.cpl 
quien_como_tu.cpl 
portymore.cpl 
listado_de_porquerias.cpl 
billgatesscream.cpl

Al ejecutarse uno de estos adjuntos, el gusano se copia a si mismo al directorio de Windows, e intentará autoenviarse a todos los contactos del MSN Messenger y otras direcciones electrónicas que recoja de la máquina infectada.

Cuando se ejecuta, se copia a si mismo en el raíz del disco duro (C:\) y en la carpeta Windows (C:\Windows, C:\WinNT, etc.). El nombre de esta copia es un número al azar con extensión .CPL, por ejemplo 3412.cpl (no usa el cero).

El registro es modificado para poder ejecutarse nuevamente en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
3412 = rundll32.exe shell32.dll,Control_RunDLL C:\WINDOWS\3412.cpl

El valor siempre es el mismo del archivo y '3412' es solo un ejemplo, ya que puede ser cualquier otro número generado al azar.

Luego, toma la lista de contactos del MSN Messenger de la siguiente entrada del registro:

HKCU\Software\Microsoft\MessengerService\ListCache\.NET
Messenger Service

Después intenta enviarse a través del servidor SMTP mail.hotmail.com en un mensaje como el indicado anteriormente.

Luego del envío, se crea una copia del propio virus con el nombre ZERO.EXE en el directorio de Windows.

El gusano utiliza como archivos temporales los siguientes: COMMFIG.SYS y K32.VXD, los cuáles crea en la carpeta de Windows mientras envía los mensajes infectados y luego los borra.

También intenta propagarse a través de la red de archivos compartidos del KaZaa. Para ello busca la carpeta correspondiente de la siguiente entrada del registro:

HKCU\Software\Kazaa\Transfer\DlDir0

Luego se copia con los siguientes nombres a la carpeta compartida por el KaZaa en la máquina infectada, de donde puede ser descargado por otros usuarios, engañados por los nombres falsos:

DivResidentEvil.ZIP.cpl 
SpidermanDesktop.cpl 
AVP_KeyActualization2002.ZIP .cpl 
Messenger_skins.ZIP .cpl 
Porno_sTar.cpl 
CannibalCorpse.MP3 .cpl 
ASickofitall.Zip .cpl 
AXEbahia.cpl 
NuevosVideosProfesorRossa.cpl 
NewVideo_Blink182.cpl 
LagWagon&Blink182.cpl 
Hacking.cpl 
AllMcAfeeCrack.Cpl 
Britney_spearsVSDavidBeckham_AnalPasions.cpl 
Crack.PerAntivirus.Zip .cpl 
JamieThomasVSrodneyMullen.cpl 
MariguanaDesktop.cpl 
AgeOfEmpires2_Crack.cpl 
PSX2_Emulation.Zip .cpl 
GameCube.Zip .cpl 
Mames.Zip.cpl 
Crack_Delphi5and6.Zip .cpl 
terminator2.cpl 
BinladenF*ckinBillGates.cpl 
AnalPasswords.cpl 
ElvisDesktop.cpl 
B.cpl 
Z.cpl 
AVP_Spanish.cpl 
ZoneAlarmCrack.cpl 
HardXCore.cpl 
PhotoShop6.xCrack.cpl 
BioHazard.cpl 
VisualBasic.Net.cpl 
Zidane.Taliban.cpl 
VideoPortoSeguro.cpl 
PSX2EmulatorFree.Zip .cpl 
sexo_en_la_calle.cpl 
sexo_anal_full_video.cpl 
sexo_oriental_full_video.cpl 
muertes_videos.cpl 
fullvideo_anal_action.zip .cpl

Todos estos archivos son copias del gusano, y tienen un tamaño de 236,032 bytes.

Para evitar ser detectado por algunos antivirus, el gusano realiza las siguientes manipulaciones en el registro:

HKLM\SOFTWARE\KasperskyLab\SharedFiles
Folder = C:\Windows

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KAZAAkCuF =
[número]
PAV.EXE =
[número]
Zonavirus =
[número]
BNexe =
[Nombre de cualquiera de las copias del gusano]
BN = c:\BanderaNegra.vbs

Puede borrar los siguientes archivos pertenecientes a conocidos antivirus (PER Antivirus, Kaspersky y VirusScan de McAfee):

C:\archiv~1\perav\pav.dll
C:\archiv~1\perav\per.dll
C:\program files\perav\pav.dll
C:\program files\perav\per.dll

C:\Windows\PAV.EXE
C:\Windows\bases\avp.set

C:\Windows\system\vshield.vxd
C:\Windows\system32\vshield.vxd
C:\Windows\vshield.vxd


Herramienta para quitar el W32/Duni (Kitro.C) de un sistema infectado

La herramienta PQREMOVE de Panda Software, limpia el virus de un sistema infectado, además de restablecer los cambios realizados en la configuración del sistema.

Descargue PQREMOVE del siguiente enlace y proceda a ejecutarlo en su PC, siguiendo las especificaciones en pantalla.

Descarga directa:
http://updates.pandasoftware.com/pq/gen/dadinu/pqremove.com (1.1 Mb)

Más información:
http://www.pandasoftware.es/enciclopedia/W32Dadinu.htm


Reparación manual


Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas (no todas pueden estar presentes):

KAZAAkCuF
PAV.EXE
Zonavirus
BNexe
BN
OFF

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

rundll32.exe

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Actualice sus antivirus o reinstálelos (el virus intenta eliminar algunos archivos pertenecientes a conocidos antivirus, como PER, Kaspersky y VirusScan, aunque no lo logra en todos los casos).

9. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

10. Borre los archivos detectados como infectados por el virus


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
04/jul/02 - Alias: W32/Bandera.B@MM, W32/Bandera.B
04/jul/02 - Alias: W32/Duni-A, I-Worm.Duni
09/jul/02 - Alias: W32.Kitro.C.Worm, WORM_DANDI.A, Worm/Duni
09/jul/02 - Alias: W32/Duni.Worm, W32/Duni-A
09/jul/02 - Variantes: W32/Kitro.A, W32.Kitro.A.Worm, W32.Kitro.B.Worm
09/jul/02 - Variantes: W32.Kitro.D.int, W32.Kitro.gen, VBS.Kitro@mm
10/jul/02 - Variantes: W32.Kitro.C.Worm
11/jul/02 - Alias: Win32.Kitro.B, Win32/Duni.A, Win32/Kitro.B.Trojan, I-Worm.Kitro.c
13/jul/02 - Herramienta para quitar el W32/Duni



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS