VSantivirus No. 1431 Año 8, domingo 6 de junio de 2004
W32/Joot.A. Se propaga por e-mail y redes P2P
http://www.vsantivirus.com/joot-a.htm
Nombre: W32/Joot.A
Tipo: Gusano de Internet
Alias: Joot, W32.Joot.A@mm, Win32/Joot.A
Fecha: 4/jun/04
Plataforma: Windows 32-bit
Tamaño: 26,112 bytes (UPX)
Gusano escrito en C++ y comprimido con la herramienta UPX, que se propaga masivamente a través del correo electrónico, a direcciones electrónicas obtenidas de archivos ubicados en la máquina infectada. También intenta propagarse por recursos compartidos y redes de intercambio de archivos entre usuarios (P2P), como Kazaa, iMesh y Grokster.
Deshabilita los procesos relacionados con conocidos antivirus y cortafuegos personales.
Posee errores en su código que hacen que no funcionen correctamente todas sus funciones.
Los mensajes enviados por el gusano poseen estas características:
Ejemplo 1:
Asunto: Hi!
Texto del mensaje:
This is a nice game I found. Beat my score: 5386
Points! Try it! :) See you later!
Datos adjuntos: [archivo del gusano]
Ejemplo 2:
Asunto: Something funny!
Texto del mensaje:
This is my little test
Datos adjuntos: [archivo del gusano]
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\Navapw32.exe
c:\windows\Regedit.exe.tmp
c:\windows\Sbbserv.exe
El editor del registro (REGEDIT.EXE), es ejecutado en un nuevo escritorio virtual y el archivo del gusano (REGEDIT.EXE.TMP) es inyectado dentro del mismo proceso.
El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
G4Mjoohtaeckz
Crea además, copias de si mismo con los siguientes nombres en las carpetas por defecto de los programas de intercambio entre usuarios, Kazaa, iMesh y Grokster:
Command and Conquer Generals No-CD patch (working).exe
Diabolo 2 Keygen.exe
FixKlez.exe
Half-Life No-CD Crack.exe
Madonna Screensaver.exe
Setup.exe
StarCraft BW 1.10 No-CD Crack.exe
Unreal Tournament 2003 No-CD.exe
WarCraft III No-CD (all versions).exe
Windows 2000 Serial.exe
Windows XP Crack.exe
Winzip Serial.exe
Intenta finalizar los procesos activos que contengan alguna de las siguientes cadenas en sus nombres:
afee
anti
ccapp
ccevtmgr
norton
persfw
prot
sym
virus
zone
Agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NAV Agent = "navapw32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
ScriptBBlocking = "SBBServ.exe"
Busca direcciones electrónicas en archivos con las siguientes extensiones:
.bak
.htm
.html
.tmp
Al mismo tiempo, el gusano intentará borrar todos los archivos examinados que contengan alguna de las siguientes cadenas:
afee
anti
ccapp
ccevtmgr
norton
persfw
prot
sym
virus
zone
Para enviar los mensajes infectados, utiliza la configuración de correo del usuario infectado, obtenida de la siguiente clave del registro:
HKCU\Software\Microsoft\Internet Account Manager\Accounts
El gusano intenta modificar los archivos SYSTEM.INI y WIN.INI para autoejecutarse en cada reinicio (Windows 9x, Me).
También intenta modificar valores del registro relacionados con los recursos compartidos (Windows 9x y Me):
HKLM\Software\Microsoft\Windows
\CurrentVersion\Network\LanMan
Flags =
Parm1enc =
Parm2enc =
Path =
Remark =
Type =
Reparación manual
Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\Navapw32.exe
c:\windows\Regedit.exe.tmp
c:\windows\Sbbserv.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
NAV Agent
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
ScriptBBlocking
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Network
\LanMan
7. Pinche en la carpeta "LanMan" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
Flags =
Parm1enc =
Parm2enc =
Path =
Remark =
Type =
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Modificar SYSTEM.INI
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell = explorer.exe [archivo del gusano]
y déjelo así:
[boot]
shell = explorer.exe
3. Grabe los cambios y salga del bloc de notas
Modificar WIN.INI
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo.
Por ejemplo:
[Windows]
run = [archivo del gusano]
Debe quedar como:
[Windows]
run =
3. Grabe los cambios y salga del bloc de notas.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|