Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/Elitper.A. Se propaga por redes P2P e IRC
 
VSantivirus No. 1696 Año 9, domingo 27 de febrero de 2005

W32/Elitper.A. Se propaga por redes P2P e IRC
http://www.vsantivirus.com/elitper-a.htm

Nombre: W32/Elitper.A
Tipo: Gusano de Internet
Alias: Elitper, Win32/Elitper.A, WORM_ELITPER.A, W32.Elitper.A@mm
Fecha: 26/feb/05
Plataforma: Windows ME, NT, 2000 y XP
Tamaño: 9,392 bytes (MEW)

Este gusano se propaga por redes P2P y canales de IRC. También intenta propagarse por correo electrónico, pero esta rutina no funciona correctamente.

Suele utilizar el siguiente nombre para copiarse en las carpetas compartidas de redes P2P, aunque en ocasiones podría aparecer con otro nombre:

Media Center Crack.exe

Cuando se ejecuta, crea las siguientes copias en las siguientes carpetas del sistema del equipo infectado:

[Archivos de programa]\Internet Explorer\Firewall.exe
[Archivos de programa]\Windows Media Player\wmlaunch .exe
[Windows]\TASKMANAGER.exe

NOTA: [Archivos de programa] puede ser la carpeta "c:\archivos de programa" o "c:\program files". [Windows] puede ser una de las siguientes carpetas: "c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.

También puede crear una copia con el siguiente nombre y ubicación:

[Archivos de programa]\Microsoft Office\Office10\WINWORD.exe

Para ejecutarse en cada reinicio del sistema, crea las siguientes entradas en el registro de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Firewall = "[Archivos de programa]\Windows Media Player\wmlaunch .exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Protection = "[Archivos de programa]\Internet Explorer\Firewall.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SysRes = "[Windows]\TASKMANAGER.exe"

Si está instalado el programa mIRC en el sistema, el gusano modifica el archivo SCRIPT.INI agregando la siguiente línea para ejecutarse cada vez que dicha aplicación es abierta:

n1=on 1:START:/run c:\Program Files\Internet Explorer\Firewall.exe

El gusano puede propagarse por las siguientes redes de archivos P2P:

BearShare
KaZaA
KaZaA Lite
Morpheus

Para ello, busca las carpetas compartidas por defecto, y se copia en ellas con el siguiente nombre:

Media Center Crack.exe

Si la víctima infectada utiliza KaZaa, la siguiente clave del registro es modificada o agregada, para que dicho archivo sea compartido, aún cuando se haya configurado el programa para no hacerlo:

HKCU\Software\Kazaa\LocalContent
DisableSharing = "0"

El gusano intenta enviarse como un archivo adjunto a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, pero por un error en su código suele fallar en su intento.

Si lograra enviarse, los mensajes podrían tener estas características:

Asunto: [vacío]
Texto del mensaje: Microsoft(c) Lastest Update For CD-ROM
Datos adjuntos: Firewall.exe

El gusano intenta finalizar los siguientes procesos si cualquiera de ellos estuviera activo:

ccapp.exe
DAP.exe
dllhost.exe
gp4.exe
iexplore.exe
LSASS.exe
mdm.exe
PTEditor.exe
regedit.exe
smss.exe
SVCHOST.exe
VB6.exe

Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:

http:/ /www .microsoft .com/isapi/redir .dll?prd=ie&ar=hotmail
messenger .hotmail .com
raw .wwe .com
smackdown .wwe .com
www .about .com
www .alalettre .com
www .altavista .com
www .alltheweb .com
www .bearshare .com
www .cnn .com
www .cradleofilth .com
www .download .com
www .emp3finder .com
www .geocities .com
www .google .com
www .guitar .pro .com
www .hdpvidz .com
www .hotmail .com
www .ironmaiden .com
www .kazaa .com
www .knowyournews .com
www .mcafee .com
www .metallica .com
www .microsoft .com
www .msn .com
www .mysongbook .com
www .nero .com
www .net2phone .com
www .regedit .com
www .rohitab .com
www .roxio .com
www .startacademy .fr
www .symantec .com
www .themetsource .com
www .thisiscyberia .com
www .trendmicro .com
www .urbanchaosvideos .com
www .vbcode .com
www .wwe .com
www .yahoo .com

El gusano es capaz de restringir el acceso a herramientas administrativas, tales como el Administrador de tareas, el editor del registro, además de impedir que el equipo pueda descargar actualizaciones del sitio de Microsoft, o que el usuario puede utilizar la opción Inicio, Ejecutar.

Para ello, crea o modifica las siguientes entradas en el registro:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "dword:00000001"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
DisallowRun = "1"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoRun = "dword:00000001"

HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
AUOptions = "dword:00000001"

HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "dword:00000001"

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
AUOptions = "dword:00000001"

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "dword:00000001"

También modifica el registro para impedir que los siguientes programas puedan ejecutarse:

1.exe
A1 DVD Ripper.exe
aawsepersonal.exe
ACDSee6.exe
acrord32.exe
ad-aware.exe
application.exe
avast.exe
CCIMSCN.exe
chktrust.exe
cmd.exe
defrag.exe
dialer.exe
dllhost.exe
dxdiag.exe
excel.exe
file.exe
findstr.exe
fixblast.exe
gp4.exe
help.exe
install.exe
isuninst.exe
keygen.exe
mirc.exe
moviemk.exe
MSDEV.exe
msmsgs.exe
msnmsgr.exe
NAVSTUB.exe
navui.nsi
NAVW32.exe
NAVWNT.exe
nero.exe
netstat.exe
NMain.exe
notepad.exe
ntbackup.exe
ntbackup.exe
print.exe
program.exe
project1.exe
regedit.exe
remove.exe
savscan.exe
setup.exe
shutdown.exe
sndrec32.exe
SNDSrvc.exe
sndvol32.exe
svchost.exe
svghost.exe
uninst.exe
uninstall.exe
vfp6.exe
winhelp.exe
winrar.exe
winword.exe
winzip.exe
wmplayer.exe
wmplayer.exe
wordpad.exe
write.exe
xcopy.exe

Crea también las siguientes entradas para deshabilitar las notificaciones de actualizaciones de Windows, avisos del Centro de seguridad (Windows XP SP2), y deshabilitar la herramienta "Restaurar sistema" en Windows ME y XP:

HKCU\Software\Microsoft\security center
AntiVirusDisableNotify = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"

HKCU\Software\Microsoft
\Windows NT\CurrentVersion\systemrestore
DisableSR = "dword:00000001"

HKCU\Software\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000001"

HKCU\Software\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000001"

HKLM\Software\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000001"

HKLM\Software\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000001"

HKLM\Software\Microsoft
\Windows NT\CurrentVersion\systemrestore
DisableSR = "dword:00000001"

HKLM\System\CurrentControlSet\Services\lanmanserver\Shares
Disk = "hex(7):43,53,43,46,6c,61,67,73,3d,30,00,4d,61,78,55,
73,65,73,3d,34,32,39,34,39,36,37,32,39,35,00,50,61,
74,68,3d,43,3a,5c,00,50,65,72,6d,69,73,73,69,
6f,6e,73,3d,36,33,00,54,79,70,65,3d,30,00,00,"

El gusano intenta agregar los siguientes usuarios al equipo infectado:

Don't-Delete
Protection
RePtiLe
Worm

También cambia el nombre de la computadora por el siguiente:

RePtiLe


Reparación manual

Antivirus y edición del registro


1. Actualice sus antivirus con las últimas definiciones.

2. Descargue el siguiente archivo en el escritorio de Windows (o donde tenga fácil acceso a él más tarde):

http://www.videosoft.net.uy/elitper.reg

3. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

4. Haga doble clic sobre el archivo .REG descargado en el punto 2, para agregar su contenido al registro.

5. Ejecute el editor del registro. Desde Inicio, Ejecutar escriba REGEDIT y pulse ENTER

6. Haga clic en la carpeta "Mi PC" de la ventana izquierda, seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada lo siguiente:

ComputerName

7. En "Buscar en" marque solo la casilla "Valores" y haga clic en el botón "Buscar siguiente".

8. Cambie los datos de cada aparición de "ComputerName" por el nombre de su equipo (para continuar la búsqueda después de cada cambio, solo pulse F3).

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros.

11. Borre los archivos detectados como infectados.

12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Modificar SCRIPT.INI (mIRC)

1. Localice el archivo SCRIPT.INI en la carpeta del mIRC, y haga clic en el archivo (se abrirá el bloc de notas con el contenido de SCRIPT.INI).

2. Elimine la siguiente línea:

n1=on 1:START:/run c:\Program Files\Internet Explorer\Firewall.exe

3. Grabe los cambios.


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1 localhost

4. Acepte guardar los cambios al salir del bloc de notas.

5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

28/02/05 - 05:07 -0200 (Alias: W32.Elitper.A@mm)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS