|
VSantivirus No. 951 - Año 7 - Jueves 13 de febrero de 2003
W32/Ixas.A. Mensajes provenientes del dominio @delfi.lt
http://www.vsantivirus.com/ixas-a.htm
Nombre: W32/Ixas.A
Tipo: Gusano de Internet
Alias: WORM_IXAS.A, W32/Ixas@MM, Worm.Ixas, I-worm.ixas@mm
Fecha: 13/feb/03
Plataforma: Windows 32-bits
Tamaño: 112,128 bytes (ASPack), 256,512 bytes
Fuentes: Trend Micro, PerAntivirus
Se trata de un gusano de propagación masiva en formato PE (Portable Ejecutable), que utiliza en sus mensajes un archivo adjunto de nombre aleatorio (4 a 7 caracteres), con extensión .EXE.
Se envía de dos maneras. Una, a toda la libreta de direcciones de Outlook y Outlook Express. Otra, respondiendo a los remitentes del sistema infectado con otro formato de correo usando su propio servidor SMTP y una librería MAPI (Messaging Application Programming Interface).
La dirección del remitente (falsa) está formada con el nombre del archivo infectado mas el dominio "delfi.lt", que corresponde a Lituania. El "Asunto" es seleccionado de un listado propio:
De: [nombre del archivo adjunto]@delfi.lt
Asunto: [una de las líneas del siguiente listado:]
Antivirus Update
EBAY Update
Gift for you
Hello, please wisit this nice site
Hi, look this attcahment
Urgent NEWs
Urgent Windows UPDATE
Cuerpo del mensaje: (aparenta estar vacío)
El mensaje tiene formato HTML, y no contiene ningún texto visible. Sin embargo, con solo visualizar ese contenido vacío, el gusano, embebido en el código HTML, se ejecuta en forma automática. Ello ocurre también al verlo en el panel de vista previa del Outlook.
Además de ello, utilizando su propio motor SMTP (Simple Mail Transfer Protocol), el gusano responde a todos los mensajes recibidos, utilizando librerías MAPI y mensajes como el siguiente:
Asunto: Re:
Cuerpo del mensaje:
I reply as soon as possible to your email
You wrote:----------
Archivo adjunto: [nombre del gusano]
Cuando el gusano se ejecuta, el mismo verifica si existe la siguiente clave en el registro:
HKEY_LOCAL_MACHINE\Software\EarLG\Config
AppName = ypacww.exe
Si no existe la crea (o sea, la primera vez). Si existe, el gusano no se propaga vía correo electrónico.
El nombre del ejecutable es el del gusano ("ypacww.exe" es solo un ejemplo de miles posibles), contiene 4 a 7 caracteres formados al azar en su código viral. El gusano copia el archivo con ese nombre infectado a la carpeta System de Windows. En el ejemplo:
C:\Windows\System\ypacww.exe
Además, para ejecutarse en cada reinicio de Windows, el gusano crea la siguiente entrada en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ypacww.exe = C:\Windows\System\ypacww.exe
"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
El gusano utiliza también la siguiente clave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\DLLPath
Esta entrada muestra una ruta hacia la librería MAPI WAB32.DLL, normalmente en C:\Windows\System\ypacww.exe, o C:\Archivos de programa\Archivos comunes\System\ypacww.exe y que el gusano usa para auto-enviarse.
También crea un archivo en la carpeta System, con el nombre del gusano, pero sin extensión. Por ejemplo, si el archivo infectado era ypacww.exe, el nombre del creado será YPACWW:
C:\Windows\System\ypacww
Además, guarda todas las direcciones de correo a las que se envía, y de ese modo evita volverse a enviar a las mismas direcciones.
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
[nombre] = C:\Windows\System\[nombre].exe
Donde [nombre del gusano] es el nombre dado al gusano.
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Actualizar Internet Explorer
Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:
Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm
O instale el IE 6.0, Service Pack 1 (SP1):
Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm
Y luego actualice su Internet Explorer como se explica aquí:
Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de
"Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los
tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en
estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|