Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Leave.worm. Infecta usando el troyano SubSeven
 
VSantivirus No. 351 - Año 5 - Domingo 24 de junio de 2001

Nombre: W32/Leave.worm
Tipo: Gusano de Internet
Fecha: 22/jun/01
Tamaños: 76800 bytes, 22528 bytes, 54272 bytes

Este virus (del cuál no se han recibido aún reportes de infecciones), está formado por tres componentes:

BIN.DLL (22528 bytes)
REGISTRY.DLL (54272 bytes)
REGSV.EXE (puede tener otros nombres) (76800 bytes)

Todos ellos están comprimidos con la utilidad UPX.

Cuando el archivo .EXE es ejecutado, el virus se copia a si mismo en esta ubicación (o donde Windows se encuentre instalado, por defecto C:\WINDOWS):

C:\WINDOWS\regsv.exe

También se crea este archivo, conteniendo datos encriptados:

C:\WINDOWS\acI3.dll

Luego, modifica el registro de Windows en las siguientes claves:

HKU\.Default\Software\Mirabilis\ICQ\Agent\Apps
icqrun="C:\WINDOWS\regsv.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
regsv="C:\WINDOWS\regsv.exe"

También se crean las siguientes claves, las cuáles contienen numerosas subcarpetas con datos encriptados:

HKLM\SOFTWARE\Classes\Scandisk\i386\i\
HKLM\SOFTWARE\Classes\Scandisk\i386\s\

El archivo .EXE contiene la contraseña maestra para acceder al troyano SubSeven, el cuál usa para infectar otras computadoras.

El ejecutable también contiene rutinas para conectarse con servidores de tiempo y servidores de IRC, así como para descargar otros archivos de Internet.

El archivo REGISTRY.DLL posee una rutina de envío por e-mail.

El gusano, básicamente se propaga escaneando la red en busca de computadoras que tengan instalado el troyano SubSeven (BackDoor-G), y las infecta, utilizando la clave maestra de este troyano para acceder a él.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red"), que detendrá y advertirá la conexión del troyano con Internet.

Para sacar el virus de un sistema infectado, ejecute un antivirus al día, elimine los archivos bin.dll, registry.dll, regsv.exe, acI3.dll, y luego quite del registro de Windows (utilizando REGEDIT), estas referencias:

Borre "Scandisk" en la rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Classes
Scandisk

Borre "regsv" en la rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

Borre "icqrun" en la rama:

HKEY_USERS
.Default
Software
Mirabilis
ICQ
Agent
Apps


Ver también:

11/jul/01 - W32/Leave.B.Worm. Usa un falso boletín de Microsoft
11/mar/01 - Trojan.SubSeven.2.2. Ultima versión del peligroso troyano
04/ene/01 - Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.
29/dic/00 - VBS.Sorry.A. Busca PC infectadas con el trojan SubSeven
23/dic/00 - Troj_Sub7drpr.B. "Dropper" de Troj_Sub7.401315
21/dic/00 - Troj_Sub7.401315. Otra variante del troyano SubSeven
12/dic/00 - Trojan: Pillapass. Simula ser un robador de contraseñas
03/dic/00 - Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
04/dic/99 - Trojan: SubSeven 2.1

Fuente: Network Associates
(c) Video Soft - http://www.videosoft.net.uy

  

Copyright 1996-2001 Video Soft BBS