Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Holar.G (F). Destructivo gusano usa e-mail y P2P
 
VSantivirus No. 1017, Año 7, Domingo 20 de abril de 2003

W32/Holar.G (F). Destructivo gusano usa e-mail y P2P
http://www.vsantivirus.com/holar-g.htm

Nombre: W32/Holar.G (F)
Tipo: Gusano de Internet
Alias: W32/Holar.g@mm, W32.Hawawi.Worm, WORM_HOLAR.F, W32.Hawawi.Worm, W32/Holar.f@MM, W32/Holar.G@MM, W32/Hawawi@mm, I-worm.Holar.G@mm
Fecha: 19/abr/03
Tamaño: 51,357 bytes

Variante de W32/Holar.D (ver http://www.vsantivirus.com/holar-d.htm).

Intenta propagarse vía e-mail y a través de las redes de archivos compartidos P2P, aunque parece fallar en ciertas condiciones.

Consiste en tres componentes principales. Un dropper (libera a los demás componentes), el gusano propiamente dicho (42,091 bytes) y la librería SMTP para el envío vía e-mail (15,417 bytes).

El "dropper" es un archivo que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".

En este caso, el dropper libera y ejecuta los otros dos componentes mencionados antes.

Contiene una rutina altamente destructiva, que trunca a cero bytes todos los archivos, de todas las unidades de disco locales y mapeadas con las siguientes extensiones:

*.cpp
*.doc
*.dpr
*.frm
*.htm
*.html
*.jpg
*.mdb
*.mde
*.mp3
*.mpeg
*.mpg
*.pdf
*.php
*.pps
*.ppt
*.ram
*.rar
*.rm
*.sql
*.swf
*.txt
*.wav
*.xls
*.zip

Esta forma de destrucción, hace prácticamente imposible la recuperación de los archivos borrados.

El gusano utiliza Microsoft Outlook y Outlook Express para enviarse como correo electrónico infectado, con varios asuntos y textos:

Asunto: '''*< Love Speaks it all >*'''

Texto: 
Hii
Try this great program allowing u to translate 100 languages .
just write a passage in english and chose a language to get 
the traslation one of my friends used it with his arabian gf 
and it worked successfully ;)
so , Now we can say ' Love Speaks it All ' :)


Asunto: Co0o0o0o0oL

Texto: 
i thing the subject is enough to describe the attached file !
check it out and replay your opinion
Cya


Asunto: Fw:

Texto: 
You're gonna love it ;)
delete it after reading , Professor :P


Asunto: Heeeeeeeeeeeeeeeey

Texto: 
i've got this surprise from a friend :)
it really deserves a few minutes of your time.
Bye


Asunto: Wussaaaaaaaap?

Texto: 
Should i email u first to email me?
u don't know how much ur emails mean to me.
i wish u like this email and plzz don't forget me :)


Asunto: WoW But not for NoW

Texto: 
coz i couldn't get the other part of it ,
any way , check it out
having alil thing is better than nothing :P


Asunto: y0 Ain't Got Shyt !

Texto: 
All u can get is burning ur self
Coz all we can do is to watch, nothing for us to touch :(


Asunto: Why Do We FOk?

Texto: 
let me answer ,,,
hummmmmmmmm
Coz we Burn Our selves by watching ********** like the
one i attached :P


Asunto: Heeelllooo , anybody home????

Texto: 
i tried many times to send u this email but ur account was 
out of storage as i think any way , make sure that i didn't 
and i won't forget u :)
Cya Forgotten :P


Asunto: Why did u send me this shyt?

Texto: 
THANX BUT I DON'T ACCEPT SEX MATERIALS FROM
STRANGERS. I SAW THEM N I WONDERED HOW U COULD
DO SO ?
I REATTACHED THE SHYT U SENT
PLEASE DON'T EMAIL ME ,


Asunto: Re:Hi

Texto: 
No thanx , keep it for you :)


Asunto: Lo0o0o0o0o0o0o0o0o0o0o0o0oL

Texto: 
Measure your intelligence , the power of your mind and the
speed of your reaction by answering several Qs , don't 
forget to send me your mark.
I took 3.5/10 :P
Let's see who is more intelligent than the other!
Good Luck


Asunto: hurry up !!!

Texto: 
this is the last one i could find ,
Don't forget , send me the project in a zipped file :)
Bye


Asunto: To Early To Have Sex!

Texto: 
When i saw it i didn't believe that she was only 8 yrs old.
but when i saw the blood and heard the voice of her :( i got 
Shocked


Asunto: Fw:Send it to all of the ppl u love

Texto: 
Don't Believe ur self, I don't Love Ya :P
But i Don't know why i sent this to u.
Make use of it , Bye ;)


Asunto: Surpise !

Texto: 
I'm in a harry ,
Send me any clip with voice like the one i attached .
And stop sending the booooring pictures
For your elegant Taste
elegant ppl should satisfy thier taste with elegant things ;)


Asunto: Again?

Texto: 
I sent this email to another body :P and he replayed saying
Thanx !! i always write your email wrongly.
Hummm, if u like it replay to me , and don't forget to write
ur signature to make sure that i didn't send the email to a
wrong one ;)


Asunto: Who are you??????

Texto: 
i'm fine , thanx for asking :)
and thanx for the nice attachements.
but unfortunately, i don't remember you
i will be waiting for u emaill to remind me of your self.


Asunto: Hummm , i hope u accept this show as an apology.

Texto: 
The Spanish Beauty
it's a mix of the Arabian beauty & the european grace !
satisfy your eyes with the beauty that u have never seen ;)


Asunto: I've Got it :)

Texto: 
I've got it from KaZaA network ,
it seems not to be full but that's all i could find :(


Asunto: Helloooooooo

Texto: 
I've got your email , but you forgot to upload the
attachments. Don't be selfish , i sent you all the files i
have, send me anything :(


Asunto: If u are booooored ...

Texto: 
i found it in my Recycled , i know u love this kind of thing ;)
attachment :) bye


Asunto: Dispatch@McAfee.com

Texto: 
Virus Alert !
Dear User,
McAfee.com Has recieved an infected message from you 
.We believe that you are infected with Win32/HaWawi@MM 
Virus.
Please download the attached tool (ToolAv01w32) which 
will help you to clean your PC.
For more information :
*Create an email addressed to virus_research@nai.com.

Uno de los siguientes archivos adjuntos (el mismo archivo con distintos nombres):

Aint_it_Funny.pif
AniMaL_N_Burning_Ladies.pif
Beauty_VS_Your_FaCe.pif
Broke_ass.pif
Come_2_Cum.pif
Endless_life.pif
Famous_PpL_N_Bad_Setuations.pif
Gurls_Secrets.pif
HaWawi_N_Hawaii.pif
Hearts_translator.pif
Hot_Show.pif
How_to_improve_ur_love.pif
Leaders_Scandals.pif
Lo0o0o0o0oL.pif
Real_Magic.pif
Shakiraz_Big_ass.pif
Short_vClip.pif
Sweet_but_smilly.pif
Tears_of_Happiness.pif
Tedious_SeX.pif
Teenz_Raper.pif
The_Truth_of_Love.pif
ToolAv01w32.pif
unfaithful_Gurls.pif
White_AmeRica.pif
XxX_Mpegs_Downloader.pif

Para propagarse a través de las redes de intercambio de archivos, el gusano crea copias de si mismo con los nombres vistos antes (ver lista de archivos adjuntos), en las carpetas compartidas correspondientes.

El gusano crea además los siguientes archivos con los atributos de ocultos (+H):

C:\Windows\System\Explore.exe
C:\Windows\System\SmtpNgin.ocx
C:\Windows\TEMP\~DFC348.TMP


Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

3. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

ZaCker

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
20/abr/03 - Modificación en las instrucciones de limpieza
20/abr/03 - Alias: W32/Holar.G@MM, W32/Hawawi@mm, I-worm.Holar.G@mm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS