VSantivirus No. 1490 Año 8, miércoles 4 de agosto de 2004
W32/Evaman.C. Roba direcciones de Yahoo
http://www.vsantivirus.com/evaman-c.htm
Nombre: W32/Evaman.C
Tipo: Gusano de Internet
Alias: Evaman.C, I-Worm.Mydoom.o, I-Worm.Mydoom.O, MyDoom.O, Mydoom.P, MyDoom.Q, Sandbox: W32/EMailWorm, W32.Evaman.C@mm, W32/Evaman@MM, W32/Mydoom.P.worm, W32/Mydoom.P@mm, W32/Mydoom.q@MM, W32/Mydoom.Q@MM, W32/MyDoom-O, W32/MyDoom-Q, Win32.Evaman.C, Win32.HLLM.MyDoom.21504, Win32.Linort.A@mm, Win32/Evaman.C, Win32/Mydoom.21504.Worm, Worm.Mydoom.N, WORM_MYDOOM.O, ZIP.Evaman.C
Fecha: 3/ago/04
Plataforma: Windows 2000 y XP
Tamaño: 21,504 bytes (UPX)
Gusano de envío masivo por correo electrónico, que se propaga por direcciones de correo obtenidas de la máquina infectada, y en el sitio "email.people.yahoo.com". Fue reportada el 3 de agosto de 2004 y algunos fabricantes de antivirus la detectan como una variante del Mydoom.
Escrito en Visual C++ está comprimido con la herramienta UPX.
Funciona solo en Windows 2000 y XP ya que requiere la librería PSAPI.DLL presente en estos sistemas.
Llega en un adjunto en mensajes como los siguientes:
De: [nombre]+[dominio]
Donde [nombre] puede ser uno de los siguientes (entre otros):
barbara
daniel
david
jason
jessica
karen
kevin
linda
nancy
pamela
patricia
robert
sarah
susan
Y [dominio] es el mismo del destinatario que recibe el mensaje.
Por ejemplo, si el destinatario es pepe@micorreo.com, el remitente podría ser
alguno de los siguientes:
barbara@micorreo.com
jason@micorreo.com
linda@micorreo.com
robert@micorreo.com, etc...
Asunto: [uno de los siguientes]
Delivery Status (Secure)
failed transaction
Re: Extended Mail
Re: hello (Secure-Mail)
Re: Server Reply
Secure delivery
SN: New secure mail
SN: Server Status
Texto del mensaje: [uno de los siguientes]
- as a secure compiled attachment (Zip).
- Automatically Secure Delivery: for [e-mail]
- Automatically server notice:,
- due to a new security policy.
- Due to new policies on clients.
- Extended secure mail message available at: [dominio]
- For security measures this message has been packed as Zip format.
- from [dominio]
- from Administration at [dominio]
- Mail Delivery Server System: for [e-mail]
- Message available as a secure Zip file.
- New feature added for security reasons
- New mail secure method implement: for [e-mail]
- New policy recommends to enclose all messages as Zip format.
- New policy requested by mail server to returned mail
- New service policy for security added from [dominio]
- Now a new message is available as secure Zip file format.
- Secure Mail Server Notification: for [e-mail]
- Server Notice: New security feature added. MSG:ID: 455sec86
- Server reply from [dominio]
- This is a newly added security feature.
- This message is an automatically server notice
- This message is available as a secure Zip file format
- You have received a message that implements secure delivery technology.
- Your message is available in this server notice.
Datos adjuntos: [nombre]+[extensión]
Donde [nombre] es una de las siguientes cadenas:
attachment
document
file
mail
message
readme
text
transcript
Y [extensión] es una de las siguientes:
.exe
.zip
-htm.exe
-txt.exe
-txt.scr
Ejemplos:
attachment-htm.exe
file.exe
message-txt.scr
Cuando se ejecuta por primera vez, abre el Bloc de notas (notepad.exe).
Crea las siguientes entradas en el registro, la última para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\winlibs
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\winlibs
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winlibs.exe = c:\windows\system32\winlibs.exe
El ejecutable del gusano se copia en la carpeta del sistema de Windows y en la carpeta TEMP:
c:\windows\system32\winlibs.exe
\TEMP\winlibs.exe
NOTA 1: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
NOTA 2: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
Para propagarse, utiliza su propio motor SMTP.
Para obtener direcciones de correo, el gusano utiliza las siguientes cadenas para enviar consultas a "email.people.yahoo.com", intentando obtener las direcciones de todos los usuarios cuyo primer nombre coincida con las mismas:
Aaron
Alberto
Alecia
Alexis
Alice
Allen
Allison
Amanda
Anderson
Andrea
Andrew
Angel
Angela
Anthony
Arnold
Ashlee
Bailey
Baker
Barbara
Barber
Barker
Barnes
Barton
Bennett
Berry
Black
Blair
Blais
Bradley
Brian
Bridget
Britney
Brooks
Brown
Bruce
Burgess
Camilo
Campbell
Carlos
Carol
Carson
Carter
Catherine
Cecily
Clapp
Clark
Claudia
Cline
Clinton
Coleman
Colon
Collins
Cooper
Cortez
Craig
Cummings
Cynthia
Chang
Chapman
Charles
Christ
Christian
Christina
Christopher
Daniel
Danny
Daren
David
Davis
Debra
Deleon
Demer
Dennis
Devon
Diane
Dorcas
Dorothy
Douglas
Dulce
Duncan
Duran
Edith
Edward
Elizabeth
Elliott
Ellis
Emily
Emmet
Erica
Esteban
Estrada
Faith
Fields
Flores
Frances
Francis
Frank
Freeman
Fuller
Gabriel
Galvin
Garcia
Gates
George
Gibson
Gillian
Glenn
Gomez
Gonzalez
Grace
Grant
Green
Griffin
Hamilton
Hannah
Harrell
Harrison
Hayes
Heather
Helen
Henry
Hernandez
Hester
Hines
Holly
Houston
Howard
Hunter
Irish
Isabel
Ivette
Ivory
Jackson
Jacob
Jacobs
James
Jamie
Jamil
Janet
Jason
Jeffrey
Jenkins
Jennifer
Jessica
Jesus
Joanna
Johnson
Jolley
Jones
Joshua
Judith
Julia
Julie
Julio
Junior
Karen
Karrie
Keith
Kelley
Kelly
Kevin
Kimberly
Klein
Knight
Lambert
Laster
Laura
Lawrence
Leonard
Lewis
Lincoln
Linda
Lopez
Lucas
Mabel
Madison
Marcos
Margaret
Margery
Marie
Mario
Martha
Martin
Mathew
Mcdonald
Medina
Melissa
Mendoza
Meyers
Michael
Miguel
Miles
Miller
Mitchell
Monique
Moore
Moran
Morris
Morton
Murphy
Nancy
Navarro
Nelson
Newman
Nicole
Nicholas
Norris
Olsen
Olson
Ortega
Pamela
Parker
Parks
Parson
Patel
Patricia
Patrick
Patton
Pedro
Perez
Peter
Petersen
Philip
Pierce
Pitts
Price
Ramirez
Ramon
Randi
Randy
Rebeca
Reyes
Robby
Roberts
Robin
Robinson
Rogers
Roney
Rowland
Salomon
Samantha
Samuel
Sanchez
Sanders
Sandra
Santiago
Santos
Sarah
Scott
Sharp
Shawn
Shirley
Simon
Simpson
Smith
Sparks
Spider
Stanley
Stephanie
Steven
Stone
Summers
Susan
Susanna
Taylor
Thomas
Timothy
Torres
Turner
Ursula
Valdez
Vannessa
Virginia
Wagner
Walker
Walter
Washington
Waters
Watkins
Watson
Watts
Weaver
Wells
White
Wilson
Williams
Woodard
Wynne
Yates
Young
Zhang
También obtiene direcciones de archivos de la máquina infectada con las siguientes extensiones:
.adb
.asp
.cfg
.dbx
.dhtm
.eml
.htm
.html
.js
.jse
.jsp
.mmf
.msg
.ods
.php
.pl
.sht
.shtm
.shtml
.tbb
.txt
.wab
.xml
Finalmente se envía a todas las direcciones obtenidas, utilizando una dirección falsa en el campo "De:". Los mensajes enviados poseen las características ya descriptas.
Evita enviarse a direcciones de correo que contengan alguna de las siguientes cadenas en sus nombres:
.edu
.gov
.mil
@MM
@mm
32.
ample
arsoft
ating
avp
Bug
bug
buse
cafee
ccoun
cribe
CRIBE
dmin
ebmast
ecur
eport
eturn
gmail
help
ibm
ICROSOFT
icrosoft
inpris
inrar
inux
inzip
irus
ists
list
msdn
msn
nfo
ntivi
omain
omment
ompu
oogle
oot
opho
orton
otmail
panda
pdate
persk
rend
ruslis
Sale
sale
sarc
senet
soft
spam
Spam
SPAM
ugs
umit
upport
user
USER
ware
win
ymant
YOU
you
El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
NorthernLightMixed
Herramienta de limpieza automática:
Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.
Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Evaman
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\winlibs.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borrar archivos temporales de Windows
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
winlibs.exe
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\explorer
\winlibs
5. Pinche en la carpeta "winlibs" y bórrela.
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\winlibs
7. Pinche en la carpeta "winlibs" y bórrela.
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
04/08/04 - 10:43 -0300 (Alias: Sandbox: W32/EMailWorm)
04/08/04 - 10:43 -0300 (Alias: W32/Mydoom.P.worm)
04/08/04 - 10:43 -0300 (Alias: W32/Mydoom.P@mm)
04/08/04 - 10:43 -0300 (Alias: Win32.HLLM.MyDoom.21504)
04/08/04 - 10:43 -0300 (Alias: Win32.Linort.A@mm)
04/08/04 - 10:43 -0300 (Alias: Win32/Evaman.C)
04/08/04 - 10:43 -0300 (Alias: Worm.Mydoom.N)
05/08/04 - 10:31 -0300 (Herramienta de limpieza de Nod32)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|