VSantivirus No. 1107 Año 7, Sábado 19 de julio de 2003
W32/Indor.E. Llega en un adjunto con extensión .ZIP
http://www.vsantivirus.com/indor-e.htm
Nombre: W32/Indor.E
Tipo: Gusano de Internet
Alias: W32.HLLW.Indor.E@mm, WORM_AINJO.E, W32/Pkasa, Win32/Indowing.A, I-Worm.Ainjo.e, Win32.HLLM.Generic.132,
I.worm.Perkasa, W32/Ainjo.E, W32/Ainjo.E@mm
Fecha: 16/jul/03
Plataforma: Windows 32-bit
Tamaño: 462,848 bytes
Este gusano, escrito en Microsoft Visual Basic, se propaga a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, en mensajes como los siguientes, que llevan como adjunto un archivo comprimido (.ZIP):
Asunto: [uno de los siguientes]
- Confirmation Email - Required !
- Download DVD Movie Now !! Its Free..!
- Free MP3, OGG/VORBIS Hit Songs !!
- Free Software, Download it now !!
- Need a quick $100 today?
- Re: Web Site Report
- Re: Your Daily Report
- Thank You !
- Thank You For Your Subscription - Confirmation
- The E.A.S.E System Can Make You Money At Home!!
- URGENT: Please Verify Your Submission Confirm FFA submission !!
- WE send the TRAFFIC, YOU make the SALES!
- WHY NOT CHECK IT OUT? IT'S FREE!
- You are Losing Income
- Your Success Is Guranteed!
- Your verification is required Confirm FFA submission and receive 1000 Credit
Texto del mensaje [uno de los siguientes]
Versión 1:
Hello!
Need a quick $100 today?
Need a quick $500 this week?
Need to QUICKLY build a $5,000 monthly income?
Download the attachment now !
Versión 2:
Have I peaked your curiosity?
This is something that I think that anyone who
is serious about marketing andbeing on the internet
should check out.
Save it Now !
Versión 3:
SPECIAL, SPECIAL ! SANTA CAME EARLY...
WE WILL REFUND YOUR MONEY IF YOU ARE AMONG
THE NEXT 100 people to join, commit and bring
you new people!
Save it Now!
Versión 4:
The Mastercard Stored Value Card is good anywhere
in the world that Mastercard is accepted!
APPLY NOW AND GET $20 FREE!!
Download it Now And Get free Bonus!
Versión 5:
ATTENTION: THIS PROGRAM IS EXPLODING WORLDWIDE.
THOUSANDS OF PEOPLE ARE SIGNING UP EVERY DAY
CREATING ONE OF THE LARGEST MEMBERSHIP BASES
IN THE WORLD!
Datos adjuntos (uno de los siguientes):
Bonus.zip
FFA.zip
FreeJoin.zip
Report.zip
SaveNow.zip
El adjunto contiene el archivo del propio gusano, y debe ser descomprimido y luego ejecutar el contenido para que se produzca la infección. Este archivo tendrá alguno de los siguientes nombres:
Bonus.exe
FFAMember.exe
Free.exe
FreeJoin.exe
Girls.exe
ItsFree.exe
JoinNow.exe
Report.exe
SaveNow.exe
Sexy.exe
También se propaga a través de unidades de red, disquetes, red de intercambio de archivos KaZaa y de los canales de chat, usando el mIRC.
Cuando se ejecuta, muestra una ventana de error falsa con el siguiente mensaje:
WinZip
Error in file #1: bad Zip file offset (Error local
header signature not found): disk #1 offset: 68669733
[ OK ]
Luego se copia en las siguientes ubicaciones:
c:\windows\Blank.scr
c:\windows\Kernelw32.exe
Además, puede copiarse con alguno de los siguientes nombres:
c:\windows\Free.exe
c:\windows\JoinNow.exe
c:\windows\FreeJoin.exe
c:\windows\FFAMember.exe
c:\windows\Bonus.exe
c:\windows\Sexy.exe
c:\windows\Girls.exe
c:\windows\SaveNow.exe
c:\windows\Report.exe
c:\windows\ItsFree.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Modifica luego el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Kernelw = c:\windows\Kernelw32.exe
También modifica el archivo WIN.INI, para ejecutarse al reniciarse la computadora en equipos con Windows 95, 98 y Me:
[windows]
load = c:\windows\Kernelw32.exe
También agrega en WIN.INI las siguientes líneas:
[WORM]
Name=I-WORM>PERKASA
Author=Iwing/Indovirus
Modifica también el archivo SYSTEM.INI, para ejecutarse al reiniciarse la computadora en equipos con Windows 95, 98 y Me:
[boot]
SCRNSAVE.EXE = c:\windows\Blank.scr
Luego busca en todas las carpetas y subcarpetas, archivos con extensiones .EXE y .JPG, y se copia en la misma carpeta con el mismo nombre de los archivos encontrados, pero agregando la extensión .SCR.
Por ejemplo, si se encuentra un archivo EJEMPLO.EXE, el gusano se copia en la misma ubicación, con el nombre EJEMPLO.EXE.SCR.
También busca archivos con extensiones .LNK, .DOC, .XLS, .MP3, .MPG, .HTM, y .HTML, y se copia en la misma carpeta con el mismo nombre de los archivos encontrados, pero agregando la extensión .EXE.
Por ejemplo, si se encuentra un archivo EJEMPLO.DOC, el gusano se copia en la misma ubicación, con el nombre EJEMPLO.DOC.EXE.
Intenta finalizar cualquier proceso activo con los siguientes nombres:
Amon.exe
Antivir
Avconsol
Avp.exe
Avp32
Avpcc.exe
Avpm.exe
Navapw32
Nmain
Pop3trap
Vshwin32
Vsstat
También busca en todas las carpetas y subcarpetas estos archivos, y luego intenta borrarlos:
Amon.exe
Antivir.exe
Avconsol.exe
Avp.exe
Avp.set
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Lucomserver.exe
Nmain.exe
Pop3trap.exe
Vshwin32.exe
Vsstat.exe
Abre el navegador de Internet con la siguiente dirección:
www.indovirus.net
También intenta ataques a la dirección del SARC:
www.sarc.com
Si la fecha actual es 8 o 12 de cualquier mes, el gusano muestra el siguiente mensaje:
WARNING!
The System is either busy or has become unstable
you can wait and see if it becomes available again,
or you can restart your Computer
* Press Any key to return to windows and wait
* Press CTRL+ALT+DEL Again to restart your computer,
you will lose unsaved information,in any programs
thats are runing.
* Send Complain Email to support@microsoft.com for
creating This Stupid Message.
Si existe un disquete disponible en la unidad A, el gusano se copia en él con alguno de los siguientes nombres:
A:\Asian123.jpg.scr
A:\Lesbians123.jpg.scr
A:\teen123.jpg.scr
A:\Fetish123.jpg.scr
A:\Blowjobs123.jpg.scr
Los números "123" representan dígitos seleccionados al azar.
Para propagarse a través de la red de intercambio de archivos KaZaa, el gusano se copia en alguna de las siguientes carpetas:
c:\program files\kazaa\my shared folder
c:\kazaa\my shared folder
Para ello utiliza los siguientes nombres de archivos:
Antiviral.exe
Avupdate.exe
Free_firewall.exe
Liveupdate.exe
Mcaff.exe
Navupdate.exe
Password.exe
Sexshow.exe
Xppatch.exe
El gusano también crea en las carpetas del KaZaa, archivos creados con las siguientes cadenas [1]+[2]+[3]:
Parte [1]:
AMATEURE
ASIAN
Fetish
Fisting
Girls
Lolita
NUDE
PIC
Preeteens
SEXY
Parte [2]:
Número generado al azar, por ejemplo: 236581837
Parte [3]:
jpg.exe
Ejemplos:
Lolita236581837jpg.exe
ASIAN236581837jpg.exe
El gusano enumera todas las unidades de red disponibles y se copia a si mismo en la carpeta de Windows de cada unidad, con alguno de los siguientes nombres:
Asian.jpg.exe
Hot_And_Horny.jpg.exe
Lesbians.jpg.exe
SexyGirls.jpg.exe
Wet_And_Horny.jpg.exe
Para enviarse por correo electrónico, el gusano crea los siguientes archivos:
C:\Zip.com
C:\Zip.dbg
C:\Zipb.bat
El primero es una copia de la utilidad Pkzip.exe, y el segundo, un archivo de datos de 143,524 bytes, utilizado para generar al anterior (Zip.com), con la ayuda del .BAT. Ninguno de ellos contiene código malicioso alguno.
Luego, se comprime en un archivo con extensión .ZIP que envía como adjunto a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, en mensajes como los descriptos al principio. Para enviarse, utiliza las rutinas MAPI del Outlook.
Para propagarse a través de los canales de chat, el gusano crea o sobrescribe el archivo MIRC.INI, con las instrucciones para enviar el archivo FREEPIC.ZIP que contiene el gusano, a otros usuarios que compartan los mismos canales de IRC que la víctima infectada.
Reparación manual
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\Blank.scr
c:\windows\Kernelw32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
3. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Kernelw
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Editar el archivo WIN.INI y SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
load = c:\windows\Kernelw32.exe
Debe quedar como:
[Windows]
load =
3. Busque lo siguiente:
[WORM]
Name=I-WORM>PERKASA
Author=Iwing/Indovirus
4. Borre las tres líneas.
5. Grabe los cambios y salga del bloc de notas.
6. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
7. Busque lo siguiente:
[boot]
SCRNSAVE.EXE = c:\windows\Blank.scr
8. Borre la línea "SCRNSAVE.EXE"
9. Grabe los cambios y salga del bloc de notas
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
24/jul/03 - Alias: WORM_AINJO.E, W32/Pkasa, Win32/Indowing.A
24/jul/03 - Alias: I-Worm.Ainjo.e, Win32.HLLM.Generic.132
24/jul/03 - Alias: I.worm.Perkasa, W32/Ainjo.E, W32/Ainjo.E@mm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|