VSantivirus No. 1537 Año 8, martes 21 de setiembre de 2004
W32/Evaman.E. Se propaga por correo electrónico
http://www.vsantivirus.com/evaman-d.htm
Nombre: W32/Evaman.E
Tipo: Gusano de Internet
Alias: Evaman.E, Win32/Evaman.E, Win32/Evaman.D, Win32.Evaman.D@mm, Win32/Evaman.E.Worm, W32/Evaman.e@MM, I-Worm.Mydoom.w, W32/MyDoom-Y, MyDoom.AC, W32/Mydoom.AC@mm, WORM_EVAMAN.C
Fecha: 20/set/04
Plataforma: Windows 2000 y XP
Tamaño: 23,040 bytes (UPX)
Gusano de envío masivo por correo electrónico, que se propaga por direcciones de correo obtenidas de la máquina infectada. Fue reportado el 20 de setiembre de 2004 y algunos fabricantes de antivirus lo detectan como una variante del Mydoom.
Escrito en Visual C++ está comprimido con la herramienta UPX.
Llega en un adjunto en mensajes como los siguientes:
De: [nombre]+[dominio]
Donde [nombre] puede ser uno de los siguientes:
alex
andrew
anna
barbara
brent
claudia
debby
eric
fred
jack
james
jennifer
john
julie
kevin
linda
maria
mary
matt
pamela
robert
susan
Y [dominio] es el mismo del destinatario o uno de los siguientes:
@ aol .com
@ excite .com
@ hotmail .com
@ mail .com
@ msn .com
@ yahoo .com
Asunto: [uno de los siguientes]
- Album
- photos_alb
- You've got a Virtual Postcard!
Texto del mensaje: [uno de los siguientes]
Mensaje 1:
my pics...*sexy*. Heheh! ;)
Mensaje 2:
You have just received a new postcard from Flashecard.com!
From: [remitente falso]
To pick up your postcard follow this web address
http:/ /www .flashecard .com .viewcard .main .ecard .php?2342
or click the attached link.
We hope you enjoy your postcard, and if you do, please
take a moment to send a few yourself!
(Your message will be available for 30 days.)
Please visit our site for more information.
http:/ /www .flashecard .com
Datos adjuntos: [nombre]+[extensión]
Donde [nombre] es una de las siguientes cadenas:
photo_album
www .flashecard .com?postcard=viewcard?download
Y [extensión] es una de las siguientes:
.scr
.html.scr
También puede incluir adjuntos con extensión .ZIP conteniendo un archivo con el mismo nombre.
Crea las siguientes entradas en el registro, las últimas para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\SYSHOST
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS Updates = c:\windows\system\syshost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MS Updates = c:\windows\system\syshost.exe
El ejecutable del gusano se copia en la carpeta del sistema de Windows:
c:\windows\system\syshost.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Para propagarse, utiliza su propio motor SMTP.
Para obtener direcciones de correo, el gusano busca direcciones en la libreta de direcciones, y en archivos con las siguientes extensiones de la carpeta de archivos temporales de Internet, y en todas las carpetas de las unidades C a la Z inclusive:
.adb
.asp
.dbx
.eml
.htm
.html
.msg
.php
.pl
.sht
.tbb
.txt
.wab
Finalmente se envía a todas las direcciones obtenidas, utilizando una dirección falsa en el campo "De:". Los mensajes enviados poseen las características ya descriptas.
Evita enviarse a direcciones de correo que contengan alguna de las siguientes cadenas en sus nombres:
.gov
.gov
.mil
@avp
@domai
@foo
@iana
@messagelab
abuse
acketst
ahoo
ample
anda
arin.
ating@
berkeley
borlan
bsd
buse@
cafee
ccoun
cert
ebmaster@
ecur
ertific
ervice
feste
fido
fsf.
gnu
help
hotmail
ibm
icrosof
info
irus
isc.o isi.e
istser
kasp
kernel
linux
math
mit.e
msn
mydom
npris
ntivi
ontact@
oogle
opho
ostmaster@
page
pdate
pgp
rfc-ed
ripe
rivacy
root@
ruslis
sale
senet
soft
SPAM
Spam
spam
spm
syma
tanford.e
ubmit@
ugs@
unix
upport
utgers.ed
winrar
winzip
xample
you
El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
holla_back_b*tches
Intenta finalizar cualquier proceso activo cuyo nombre contenga alguna de las siguientes cadenas:
AV
Av
av
can
cc
ecu
fr
IEFrame
ire
iru
KV
MC
Mc
mc
msconfig
nti
regedit
scn
task
El gusano ejecuta un hilo separado que examina la presencia de dichos procesos una vez en cada segundo.
Si se ejecuta después del primero de diciembre de 2004, puede causar el cierre y reinicio de Windows, forzando la terminación de cualquier aplicación activa.
Esto es realizado antes de que se ejecute su rutina de propagación por correo electrónico, por lo que el gusano no se propagará después de esa fecha. Sin embargo, al ejecutarse cada vez que Windows se reinicia, el sistema no dejará de reiniciarse en un bucle sin fin hasta que se borre el gusano desde el modo a prueba de errores.
Reparación manual
Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\syshost.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
MS Updates
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
MS Updates
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\SYSHOST
7. Pinche en la carpeta "SYSHOST" y bórrela.
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|