VSantivirus No 2555 Año 11, jueves 27 de setiembre de 2007
Haltura.NAC. Se propaga por correo electrónico
http://www.vsantivirus.com/haltura-nac.htm
Nombre: Haltura.NAC
Nombre NOD32: Win32/Haltura.NAC
Tipo: Gusano de Internet
Alias: Haltura.NAC, Win32/Haltura.NAC
Variantes: Win32/Haltura.A, Win32/Haltura.B, Win32/Haltura.B, Win32/Haltura.D, Win32/Haltura.F, Win32/Haltura.NAA, Win32/Haltura.NAB
Fecha: 26/set/07
Plataforma: Windows 32-bit
Tamaño: 24,064 bytes
Este gusano se propaga en mensajes de correo electrónico, con asuntos al azar. Algunos ejemplos:
:-)
:P
;-)
;D
<:)
=)
>=)
2 Poem
a Image
a Joke
a Picture
a Poem
a Text
Am best I
Am i Best
are you a fag?
are you intrested in making movies?
are you jesus? ;D
Best Am I
Best i am
blah blah blah
check it out, its sick :D
coke just rules done you think ?
cute boring love :P
Cute, Boring, Love.
Did you like my poem?
Did you like my text?
do i know you?
do i trust you?
do you got aim?
do you got icq?
do you got mail? :D
do you got msn?
do you have a mistake ?
do you know me?
do you love money?
do you trust me?
Document!
doesnt matter to me
dont you ever gets so sick of territories ?
dont you longing for purity ?
dude, im nude
eCard sent to you
File!
File?
getting money?
gr8 :)
great
haha there you are
hahahahahahaha :D
hello dude
hey, stop buggin me
how i like it
I + U
i am a lesbian
I am Best
i am hiding
i am naked
i Best Am
i can walk on the water
i eat glass :D
i got a picture of me
i got a picture of you
i got a picture of you and me
i got a problem
i hate fags
i hate to be a homosexual
i hate to be gay
i hate to be singel
i hate to not be lesbian
i like apple juice
i love money
i made a mistake
i made a mistake :(
i see everything :D
i want to have you
i want to own you
i want to trademark
i want you
im afraid
im afraid of begin ignore
im afraid of dieing
im afraid of feeling
Im back :D
im not afraid
im not afraid of trying
Image of you
Image?
is ?
is it just me?
is this ?
is this a mistake ?
is this james?
is this julie?
is this kirk?
is this kurt?
is this mary?
is this right mail?
is this rutger?
is this stefan?
is this stephen?
Its me :)
its whats its all about
ive searched for you :D
just u and i
Links
making movies ?
man im nude
My File
My picture
My Poem
My private documents
My private files
My private images
My private pics
My private textes
My Text
New document
New File
noone knows, just u and i
oh yea
oh yea, thats how i like it
Pic?
profile
she said what i was supposed to think :P
shit man :P
shit shit shit
sick of spam? so am i :/
some text
sup ?
The document
the poem
the text
this is so sick man :D
U + I
U and i
w0rd
want to listen on some music?
warning, im hot
warning, its me
what are you so scared of ?
what you want ?
whats up?
where is the sky?
which u want?
whos picture ?
words, i hate words
wow hahaha
wow, if this aint pron, then i dont know what it is
wow, im so cool
WOW, powerlevel up :D
You got a pic ?
you got a picture ?
you got a picture of me
you got a picture of us
You got image ?
You got picture?
Your details
Your document
Your File
Your picture
your profile
Your ZIP
Yours
El asunto puede agregar al comienzo alguno de los siguientes prefijos:
Fwd:
FWD:
Re:
re:
Texto del mensaje (uno de los siguientes):
A funny game
a screensaver, for you :)
Attachment
Attachment :)
Can you please test this?
Can you tell me what you think of it?
Check out your eCard
Check the added file
Check the attachment :)
Check the file
Do you remember these images ?
do you remember these pictures ?
Do you still have this file ?
eCard picture.
Got this ?
I send the file you asked about
Images of us last year
Is it working?
Is this george? if so ive added the pictures ;)
Is this kirk? if so i added our pictures
Its a eCard for you
Its a present
Its pcitures of me
Ive added a document
Ive added a file
Ive added a image
Ive added a picture
ive added a screensaver for you
Ive added a text
Ive added some documents
Ive added some files
Ive added some pics
Ive added some texts
Ive added some tools
Ive added your files
Ive sent your document
Look :)
Look at the added file
Look what a funny game i found :)
Open the attachment :D
Pics
Pictures :)
Please, i cant find the error, can you check the file
Someone sent you a eCard
test
Test ?
Test the attachment :)
The file you asked about
This is my pics
What you like the file ?
What you like the picture?
You got a eCard
You have this ?
Your file
Your image
Your textfile
Datos adjuntos (uno de los siguientes):
[0]eCard
[1]eCard
1 Update
3 Update
A_eCard
Application
Applications
BetaFile
Cigg
CiggSmoke
CiggWeed
Dare
DareWho
Death
Details
Die
DieLive
Document
eCard
eCard_20349
eCard_30042
eCard_30259
FileInfo
FileNews
FileTest
FileText
Image
Images00
Images04
IMG_0345486
IMG_094385
IMG_2186395
IMG_2194864
IMG_2318975
IMG_234502
IMG_2349
IMG_2384063
IMG_34534953
IMG_358996
IMG_567567
IMG_804325
Info
Info_Your
InfoFile
ItsATest
Jpeg_file
JPG Test
Life
Live
LiveDie
Music
MusicPlayer
MusicRar
My Image
My_Details
My_Info
MyImages
NewEmail
NewsFile
Pic Test
Picture0
PictureFile
PictureImageFormat
Pictures
Porn
PornFile
PornPic
PornZip
Profiles
Rar
Rared
RaredDocs
RaredDocuments
RaredJpeg
RaredMusic
RaredPictures
RaredPorn
RaredTexts
RarFile
RarPorn
Raw
Smoke
SmokeCigg
SmokeWeed
Test Pic
TestTest
Testthis
Textfile
TheEmail
ThisFile
Tmp Docu
tmpEMail
tmpFiles
tmpInfo0
tmpInfo1
tmpLogin
tmpPics0
tmpTexts
UrDetail
Weed
WeedCigg
WeedSmoke
WhoDare
WinZipper
Your Doc
Your_Application
Your_CardNumber
Your_Details
Your_eCard
Your_Info
Your_Login
Your_Numbers
Your_Profile
Your_SignIn
YourFile
YourMail
YourTest
YourText
Zip
ZipDoc
ZipFile
Zipped
ZippedDocs
ZippedFiles
ZippedJpeg
ZippedPictures
ZippedPorn
ZippedTexts
El adjunto puede tener alguna de las siguientes extensiones:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system32\[nombre al azar].exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
En versiones antiguas de Windows, puede modificar el archivo C:\WINDOWS\SYSTEM.INI para ejecutarse en cada reinicio de la computadora:
[boot]
shell=Explorer.exe [nombre al azar].exe
Puede mostrar una ventana con un mensaje como el siguiente:
Now this will try to send a mail to Askel ;D
[ OK ]
Si se pulsa en el botón [OK] el gusano se instala.
El gusano obtiene direcciones para enviarse, de archivos con las siguientes extensiones en la máquina infectada:
.adb
.asp
.cgi
.dbx
.doc
.eml
.htm
.msg
.nfo
.oft
.php
.pl
.rtf
.sht
.tml
.txt
.vbs
.wab
El gusano se conecta a un servidor IRC (Internet Relay Chat), y se une a un canal específico.
Puede descargar una versión actualizada de si mismo.
Puede crear el siguiente archivo conteniendo solo un texto:
C:\COKE.TXT
Reparación manual
NOTA: Esta descripción se aplica a una variante específica de un determinado malware. Pueden existir numerosas versiones, detectadas por ESET NOD32 con el mismo nombre, que no necesariamente realizarán los mismos cambios en el sistema que aquí se describen.
Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32, seleccione el Control Center, Módulos de actualización, NOD32 Update y haga clic en el botón "Actualizar ahora". Compruebe que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar automáticamente" en su antivirus. En el caso de ESET NOD32, seleccione Control Center, NOD32 Scanner, haga clic en el botón "NOD32 Scanner", seleccione la casilla "Local", y haga clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar" cuando aparezca, o en el botón "Eliminar" cuando el botón "Desinfectar" no esté activo. En cualquier otro caso, el antivirus le dará el mensaje "sin acciones" y la limpieza se efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar automáticamente".
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Información adicional
Mostrar las extensiones y ver todos los archivos
http://www.vsantivirus.com/faq-mostrar-extensiones.htm
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
Cómo restaurar página de inicio y búsqueda en IE
http://www.vsantivirus.com/faq-inicio-busqueda.htm
Utilización de la Consola de Recuperación en Windows XP
http://www.vsantivirus.com/consola-recuperacion-xp.htm
Deshabilitar restauración del sistema en Windows Vista
http://www.vsantivirus.com/faq-winvista.htm
Deshabilitar restauración del sistema en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Deshabilitar restauración del sistema en Windows Me
http://www.vsantivirus.com/faq-winme.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|