VSantivirus No. 1047 Año 7, Martes 20 de mayo de 2003
W32/Gant.B. Se propaga por e-mail, P2P, roba información
http://www.vsantivirus.com/gant-b.htm
Nombre: W32/Gant.B
Tipo: Gusano de Internet
Alias: W32.HLLW.Redist@mm, Win32/Gant.B, I-Worm.Tanger.b, W32/Gant.b@MM, W32.HLLW.Tang.B@mm, W32/Tang.B, W32/Outsider
Fecha: 19/may/03
Plataforma: Windows 32-bits
Tamaño: 17,920 bytes
Este gusano, escrito en Visual Basic 6 y comprimido con la herramienta UPX, intenta propagarse a través del correo electrónico en forma masiva a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, y vía programas de intercambio de archivos entre usuarios P2P. También intenta finalizar la ejecución de determinados antivirus y cortafuegos que se estuvieran ejecutando y es capaz de actuar como caballo de Troya robando información confidencial de la máquina infectada.
Cuando se ejecuta por primera vez, un mensaje de error es mostrado:
Error Starting Program
A required .DLL file, MSVBVM60.DLL, was not found.
[ OK ]
Si se pulsa en el botón [OK], el gusano se envía a si mismo a toda la libreta de direcciones de Windows.
Los mensajes son seleccionados de las siguientes opciones:
Ejemplo 1:
Asunto: Modem booster
Datos adjuntos: ModemBooster.exe
Texto:
Hello,
I have a fairly slow modem, that is, until I
installed the file in the attachments!
This program is a "Modem booster", it can make
your internet connection go at most 2x faster :)
Enjoy!
Ejemplo 2:
Asunto: Better than WinZip?
Datos adjuntos: FileCompress.exe
Texto: Try this file compressor that I downloaded
from the net yesterday!
I have compressed some files, and it makes them
at least 3 times smaller!
The installation file should be in the attachments
as "FileCompress.exe"
Cya!
Ejemplo 3:
Asunto: Warp ScreenSaver
Datos adjuntos: WarpScreen.scr
Texto: Try this warp ScreenSaver in the attachments!
Cya!
Ejemplo 4:
Asunto: Program
Datos adjuntos: Winprg32.pif
Texto: Here is that program that you asked for
yesterday.
Ejemplo 5:
Asunto: Fire ScreenSaver
Datos adjuntos: FireScreen.scr
Texto: Hello,
Check out this ScreenSaver of fire!
I think that it is one of the best ScreenSavers
that I have ever seen!
Cya!
Ejemplo 6:
Asunto: Program
Datos adjuntos: Msprg32.pif
Texto: Here is a copy of that program that
everyone is asking for.
Please don't delete it, because I might not send
it to anyone else.
Thanks.
Mientras, el gusano se copia en las siguientes ubicaciones:
c:\windows\FireScreen.scr
c:\windows\Msctrl32.scr
NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También modifica el registro para autoejecutarse en próximos reinicios de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Msctrl32 = c:\windows\Msctrl32.scr
Crea además las siguientes entradas en el registro:
HKCU\Software\Zed\Outsider
Outsider = W32/Outsider by Zed
La información que puede robar de la computadora infectada (kelylogger), es guardada en los siguientes archivos, que no contienen código malicioso:
c:\windows\Inetdun32.txt
c:\windows\Inetcon32.txt
Esta información es enviada por el gusano a una dirección electrónica predeterminada en su código:
msctrl32@hotmail.com
El gusano busca las siguientes carpetas en la unidad C, pertenecientes a conocidos programas de intercambio de archivos:
\Program Files\KMD\My Shared Folder
\Program Files\KAZAA\My Shared Folder
\Program Files\Kazaa Lite\My Shared Folder
\Programmer\KMD\My Shared Folder
\Programmer\KAZAA\My Shared Folder
\Programmer\Kazaa Lite\My Shared Folder
\Program\KMD\My Shared Folder
\Program\KAZAA\My Shared Folder
\Program\Kazaa Lite\My Shared Folder
\Programme\KMD\My Shared Folder
\Programme\KAZAA\My Shared Folder
\Programme\Kazaa Lite\My Shared Folder
\Programmi\KMD\My Shared Folder
\Programmi\KAZAA\My Shared Folder
\Programmi\Kazaa Lite\My Shared Folder
\ProgramFiler\KMD\My Shared Folder
\ProgramFiler\KAZAA\My Shared Folder
\ProgramFiler\Kazaa Lite\My Shared Folder
\Programas\KMD\My Shared Folder
\Programas\KAZAA\My Shared Folder
\Programas\Kazaa Lite\My Shared Folder
\Archivos De Programma\KMD\My Shared Folder
\Archivos De Programma\KAZAA\My Shared Folder
\Archivos De Programma\Kazaa Lite\My Shared Folder
Si existe alguna, se copia allí con los siguientes nombres:
Johnny English (Movie) - Full Downloader.pif
Gladiator (Movie) - Full Downloader.pif
SwordFish (Movie) - Full Downloader.pif
MSN Messenger Password Stealer.pif
Norton AntiVirus 2003 Full.exe
Hotmail Password Cracker.pif
Jasc Paint Shop Pro 7 (Full).pif
ScreenSaver.scr
Microsoft Office 2003 Full.exe
El gusano también intenta eliminar los siguientes procesos correspondientes a conocidos antivirus y cortafuegos:
_avp.exe
_avp32.exe
ackwin32.exe
anti-trojan.exe
apvxdwin.exe
autodown.exe
avconsol.exe
ave32.exe
avgctrl.exe
avkserv.exe
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
avsched32.exe
avwin95.exe
avwupd32.exe
blackd.exe
blackice.exe
ccapp.exe
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
claw95ct.exe
cleaner.exe
cleaner3.exe
dv95.exe
dv95_o.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
efinet32.exe
esafe.exe
espwatch.exe
f-agnt95.exe
findviru.exe
f-prot.exe
fprot.exe
f-prot95.exe
fprot95.exe
fp-win.exe
frw.exe
f-stopw.exe
iamapp.exe
iamserv.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icmoon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
jed.exe
jedi.exe
kpf.exe
kpfw32.exe
lockdown2000.exe
lookout.exe
luall.exe
moolive.exe
mpftray.exe
n32scan.exe
n32scanw.exe
navapw32.exe
navlu32.exe
navnt.exe
navsched.exe
navw.exe
navw32.exe
navwnt.exe
nisum.exe
nmain.exe
normist.exe
nupgrade.exe
nvc95.exe
outpost.exe
padmin.exe
pavcl.exe
pavsched.exe
pavw.exe
pccwin98.exe
pcfwallicon.exe
persfw.exe
rav7.exe
rav7win.exe
rescue.exe
safeweb.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
serv95.exe
smc.exe
sphinx.exe
sweep95.exe
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
vcontrol.exe
vet32.exe
vet95.exe
vet98.exe
vettray.exe
vscan40.exe
vsecomr.exe
vshwin32.exe
vsscan40.exe
vsstat.exe
webscan.exe
webscanx.exe
wfindv32.exe
zapro.exe
zonealarm.exe
Reparación manual
Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\FireScreen.scr
c:\windows\Msctrl32.scr
c:\windows\Inetdun32.txt
c:\windows\Inetcon32.txt
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Msctrl32
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Zed
5. Pinche en la carpeta "Zed" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|