|
VSantivirus No. 1340 Año 8, lunes 8 de marzo de 2004
W32/Keco.A. Se propaga por correo electrónico
http://www.vsantivirus.com/keco.a.htm
Nombre: W32/Keco.A
Nombre NOD32: Win32/Keco.A
Tipo: Gusano de Internet
Alias: Keco, Win32/Keco.A, I-Worm.Keco.a, I-Worm/Keco.A, W32.Haltura@mm, W32/Keco.A, W32/Keco.A.worm, W32/Keco.worm.gen, Win32.HLLW.Crow.3, Win32/Keco.A@mm, WORM_KECO.A
Fecha: 8/mar/04
Plataforma: Windows 32-bit
Tamaño: 24,064 bytes
Este gusano se propaga en mensajes con las siguientes características:
Uno de los siguientes asuntos:
:-)
:P
;-)
;D
<:)
=)
>=)
2 Poem
a Image
a Joke
a Picture
a Poem
a Text
Am best I
Am i Best
are you a fag?
are you intrested in making movies?
are you jesus? ;D
Best Am I
Best i am
blah blah blah
check it out, its sick :D
coke just rules done you think ?
cute boring love :P
Cute, Boring, Love.
Did you like my poem?
Did you like my text?
do i know you?
do i trust you?
do you got aim?
do you got icq?
do you got mail? :D
do you got msn?
do you have a mistake ?
do you know me?
do you love money?
do you trust me?
Document!
doesnt matter to me
dont you ever gets so sick of territories ?
dont you longing for purity ?
dude, im nude
eCard sent to you
File!
File?
getting money?
gr8 :)
great
haha there you are
hahahahahahaha :D
hello dude
hey, stop buggin me
how i like it
I + U
i am a lesbian
I am Best
i am hiding
i am naked
i Best Am
i can walk on the water
i eat glass :D
i got a picture of me
i got a picture of you
i got a picture of you and me
i got a problem
i hate fags
i hate to be a homosexual
i hate to be gay
i hate to be singel
i hate to not be lesbian
i like apple juice
i love money
i made a mistake
i made a mistake :(
i see everything :D
i want to have you
i want to own you
i want to trademark
i want you
im afraid
im afraid of begin ignore
im afraid of dieing
im afraid of feeling
Im back :D
im not afraid
im not afraid of trying
Image of you
Image?
is ?
is it just me?
is this ?
is this a mistake ?
is this james?
is this julie?
is this kirk?
is this kurt?
is this mary?
is this right mail?
is this rutger?
is this stefan?
is this stephen?
Its me :)
its whats its all about
ive searched for you :D
just u and i
Links
making movies ?
man im nude
My File
My picture
My Poem
My private documents
My private files
My private images
My private pics
My private textes
My Text
New document
New File
noone knows, just u and i
oh yea
oh yea, thats how i like it
Pic?
profile
she said what i was supposed to think :P
shit man :P
shit shit shit
sick of spam? so am i :/
some text
sup ?
The document
the poem
the text
this is so sick man :D
U + I
U and i
w0rd
want to listen on some music?
warning, im hot
warning, its me
what are you so scared of ?
what you want ?
whats up?
where is the sky?
which u want?
whos picture ?
words, i hate words
wow hahaha
wow, if this aint pron, then i dont know what it is
wow, im so cool
WOW, powerlevel up :D
You got a pic ?
you got a picture ?
you got a picture of me
you got a picture of us
You got image ?
You got picture?
Your details
Your document
Your File
Your picture
your profile
Your ZIP
Yours
El asunto puede agregar al comienzo alguno de los siguientes prefijos:
Fwd:
FWD:
Re:
re:
Texto del mensaje:
A funny game
a screensaver, for you :)
Attachment
Attachment :)
Can you please test this?
Can you tell me what you think of it?
Check out your eCard
Check the added file
Check the attachment :)
Check the file
Do you remember these images ?
do you remember these pictures ?
Do you still have this file ?
eCard picture.
Got this ?
I send the file you asked about
Images of us last year
Is it working?
Is this george? if so ive added the pictures ;)
Is this kirk? if so i added our pictures
Its a eCard for you
Its a present
Its pcitures of me
Ive added a document
Ive added a file
Ive added a image
Ive added a picture
ive added a screensaver for you
Ive added a text
Ive added some documents
Ive added some files
Ive added some pics
Ive added some texts
Ive added some tools
Ive added your files
Ive sent your document
Look :)
Look at the added file
Look what a funny game i found :)
Open the attachment :D
Pics
Pictures :)
Please, i cant find the error, can you check the file
Someone sent you a eCard
test
Test ?
Test the attachment :)
The file you asked about
This is my pics
What you like the file ?
What you like the picture?
You got a eCard
You have this ?
Your file
Your image
Your textfile
Datos adjuntos (uno de los siguientes):
[0]eCard
[1]eCard
1 Update
3 Update
A_eCard
Application
Applications
BetaFile
Cigg
CiggSmoke
CiggWeed
Dare
DareWho
Death
Details
Die
DieLive
Document
eCard
eCard_20349
eCard_30042
eCard_30259
FileInfo
FileNews
FileTest
FileText
Image
Images00
Images04
IMG_0345486
IMG_094385
IMG_2186395
IMG_2194864
IMG_2318975
IMG_234502
IMG_2349
IMG_2384063
IMG_34534953
IMG_358996
IMG_567567
IMG_804325
Info
Info_Your
InfoFile
ItsATest
Jpeg_file
JPG Test
Life
Live
LiveDie
Music
MusicPlayer
MusicRar
My Image
My_Details
My_Info
MyImages
NewEmail
NewsFile
Pic Test
Picture0
PictureFile
PictureImageFormat
Pictures
Porn
PornFile
PornPic
PornZip
Profiles
Rar
Rared
RaredDocs
RaredDocuments
RaredJpeg
RaredMusic
RaredPictures
RaredPorn
RaredTexts
RarFile
RarPorn
Raw
Smoke
SmokeCigg
SmokeWeed
Test Pic
TestTest
Testthis
Textfile
TheEmail
ThisFile
Tmp Docu
tmpEMail
tmpFiles
tmpInfo0
tmpInfo1
tmpLogin
tmpPics0
tmpTexts
UrDetail
Weed
WeedCigg
WeedSmoke
WhoDare
WinZipper
Your Doc
Your_Application
Your_CardNumber
Your_Details
Your_eCard
Your_Info
Your_Login
Your_Numbers
Your_Profile
Your_SignIn
YourFile
YourMail
YourTest
YourText
Zip
ZipDoc
ZipFile
Zipped
ZippedDocs
ZippedFiles
ZippedJpeg
ZippedPictures
ZippedPorn
ZippedTexts
El adjunto puede tener alguna de las siguientes extensiones:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system\winshellb.exe
NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003.
Modifica el archivo C:\WINDOWS\SYSTEM.INI para ejecutarse en cada reinicio de la computadora:
[boot]
shell=Explorer.exe WinShellb.exe
Crea un mutex llamado "COKE_DESTROYS_YOUR_BRAIN_5".
Puede mostrar una ventana con el siguiente texto:
Now this will try to send a mail to Askel ;D
[ OK ]
Si se pulsa en el botón [OK] el gusano se instala.
El gusano obtiene direcciones para enviarse, de archivos con las siguientes extensiones en la máquina infectada:
.adb
.asp
.cgi
.dbx
.doc
.eml
.htm
.msg
.nfo
.oft
.php
.pl
.rtf
.sht
.tml
.txt
.vbs
.wab
El gusano se conecta a un servidor IRC (Internet Relay Chat), y se une a un canal específico.
Puede descargar una versión actualizada de si mismo.
Libera el archivo C:\COKE.TXT, conteniendo las siguientes cadenas:
Coke worm is here [Version 2 :)]
Coke worm is here to join the party
Notice to others :
Fuck you Bagel Your just a lucky ScriptKiddie
Fuck you MyDoom Your just a lame retard
Fuck you SkyNet You had luck to get into F-Sec mail-list, nothing special tho.
The virus-scene lost a great coder. Later Benny/29A
You cant code worms, your not worth to be called coders.
You lame niggers.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\winshellb.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Modificar SYSTEM.INI
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell=Explorer.exe WinShellb.exe
y déjelo así:
[boot]
shell=Explorer.exe
3. Grabe los cambios y salga del bloc de notas
Información adicional
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
04/12/04 - 11:41 -0200 (Nombre NOD32)
04/12/04 - 11:41 -0200 (Alias: I-Worm.Keco.a)
04/12/04 - 11:41 -0200 (Alias: I-Worm/Keco.A)
04/12/04 - 11:41 -0200 (Alias: W32.Haltura@mm)
04/12/04 - 11:41 -0200 (Alias: W32/Keco.A.worm)
04/12/04 - 11:41 -0200 (Alias: W32/Keco.worm.gen)
04/12/04 - 11:41 -0200 (Alias: Win32.HLLW.Crow.3)
04/12/04 - 11:41 -0200 (Alias: Win32/Keco.A@mm)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|