VSantivirus No. 1103 Año 7, Martes 15 de julio de 2003
W32/Lohack.B. Utiliza mensajes en español
http://www.vsantivirus.com/lohack-b.htm
Nombre: W32/Lohack.B
Tipo: Gusano de Internet
Alias: W32.Lohack.B.Worm, Win32/Lohack.B, I worm-Lohack.b@mm, W32.Lohack.B@mm, W32.Lofni.Worm, W32/Noala@MM
Fecha: 14/jul/03
Plataforma: Windows 32-bit
Tamaño: 47,132 bytes
Gusano de Internet escrito en Visual Basic y comprimido con la herramienta UPX, que se propaga a través del correo electrónico y de la red KaZaa de intercambio de archivos entre usuarios.
El mensaje, en español, puede poseer varios asuntos y diferentes nombres de adjuntos, todos ellos con la extensión .EXE o .SCR.
Los mensajes son creados con las siguientes características:
De: [uno de estos remitentes falsos]:
- "Ministerio de Ciencia y Tecnologia" <info@myct.es>
- "Panda Antivirus" <info@myct.es>
Asunto [uno de los siguientes al azar]:
- a las buenas
- Acelerador de descargas ultra pequeño!!
- el fichero que me pediste
- FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE aparece en internet
- FW:CAMPAÑA de información sobre la LSSICE
- Fw:Te reenvío esta presentación que me ha llegado, ya me contarás
- importante ACTUALIZACIÓN PARA WINDOWS
- Información sobre la LSSICE
- Información sobre la LSSICE y sus consecuencias
- Nuestras libertades en internet en peligro
- Nuevas formas de control
- NUEVO VIRUS muy PELIGROSO
- palabrerias
- PandaSoftware: Nueva utilidad para protegerte de hop.a
- Resumen de la ley de internet
- Salvapantallas cachondisimo
Datos adjuntos [uno de los siguientes al azar]:
- downloadit.exe
- FixWin32-hop.a.exe
- ley de internet y el comercio electronico.txt.exe
- ley lssi.pdf.exe
- ley.pdf.exe
- NO A LA LSSICE, otra internet es posible.txt.exe
- presentacion.exe
- que no jueguen con tus libertades.txt.exe
- resumen.txt.exe
- Rg2catdb.exe
- texto integro de la lssice.txt.exe
- texto.txt.exe
- www.lssi.es.exe
- www.mcyt.com.exe
- www.senado.lssice.es.exe
- xscreensaver.scr
Texto del mensaje [existen múltiples variantes, esta es una de ellas]:
- AVISO URGENTE
PandaSoftware Antivirus acaba de publicar su última
herramienta para remover el gusano hop.a Esta
herramienta no solo remueve de su sistema el
gusano/virus si es encontrado, sino que le protege
de posibles infecciones futuras.
Intrucciones de instalación:
Ejecutar el fichero adjunto y reiniciar el ordenador
----------------------------------------------------
PandaSoftware Antivirus - http:/ /www.pandasoftware.es
El cuerpo del mensaje está en formato HTML, y puede incluir código en JScript que se ejecuta automáticamente mostrando alguno de los siguientes mensajes:
- Tal día como hoy, el fenómeno auto-censura comenzó en españa...
- gracias a la LSSICE (www.lssi.es)
- este mail está dedicado a todos aquellos que día a día...
- luchan por recortarnos las libertades enmascarándolo con bonitas palabras
- Perdón por las molestias. Hasta la próxima
- para saber más mira la presentación que te adjunto
Si el mensaje es abierto en una versión desactualizada de Microsoft Outlook u Outlook Express, el archivo adjunto se ejecutará en forma automática sin la intervención del usuario.
El gusano utiliza su propio motor SMTP, de modo que no depende del cliente de correo instalado para propagarse.
Para propagarse a través del KaZaa, se copia a la carpeta compartida por este programa en la computadora infectada, de modo que cualquier otro usuario del KaZaa que lo descargue y ejecute, también será infectado.
Cuando ello ocurre, el gusano se copia él mismo en las siguientes ubicaciones y con los siguientes nombres:
C:\Windows_update.exe
C:\Windows\Explorer.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Además, crea archivos de texto, inofensivos:
C:\LSSI INFO.txt
C:\NO A LA LSSICE.txt
C:\i-worm_info.txt
El primero, contiene el siguiente mensaje en español:
Informacion sobre la LSSICE
También crea la siguiente entrada en el registro de Windows para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsUpdate = c:\windows_update.exe
Para enviarse a través del correo electrónico, obtiene la dirección del usuario infectado y su servidor SMTP, de la cuenta por defecto, obtenida en la siguiente clave del registro:
HKCU\SOFTWARE\Microsoft\Internet Account Manager\Accounts
Examina la lista de contactos del MSN Messenger de las siguientes entradas del registro:
HKCU\Software\Microsoft\MessengerService
\ListCache\.NET Messenger Service
HKCU\Software\Microsoft\MSNMessenger
\ListCache\.NET Messenger Service
Allí, obtiene las direcciones de los contactos permitidos y/o bloqueados, a los que enviará sus mensajes infectados.
También busca direcciones electrónicas, examinando todos los archivos con las siguientes direcciones:
.dbx
.htm
.html
.mbx
.pmo
.pmr
.pst
.wab
Cada 10 segundos, monitorea la existencia de alguna conexión a Internet activa, enviando un PING a la dirección de Microsoft (www.microsoft.com). El PING (Packet INternet Groper), es un paquete ICMP (Protocolo de mensajes de control de Internet), usado para generar un eco como
resuesta, que indicará si existe o no la dirección destino.
Crea las siguientes entradas en el registro, a la clave donde se almacena la carpeta de archivos del KaZaa, habilitando las unidades de disco C y D como carpetas compartidas:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
dir0 = 012345:C:\
dir1 = 012345:C:\
dir2 = 012345:D:\
Se copia luego a si mismo en el raíz de esos discos usando los siguientes nombres:
Adobe uniVersal crack.exe
AdobePhotoshop 7 crack.exe
gta3 crack NO CD.exe
HackersTools 7.5.exe
Macromedia Flash 5 key Generator.exe
Macromedia Universal crack.exe
Microsoft OfficeXP key Generator.exe
Microsoft Universal Crack.exe
MicrosoftWindowsXP key Generator[by_ka0s_te4m].exe
Tony Hawks pro Skater4!!! crack.exe
Unreal Tournament 2003 KeyMaker [by_nobody].exe
También se copia en la carpeta indicada por el siguiente valor del registro:
HKEY_CURRENT_USER\Software\Kazaa\Transfer
DlDir0
Después enumera los recursos de red, e intenta conectarse con aquellos compartidos sin restricciones, con los siguientes nombres:
downloadit.exe
fotos.del.ultimo.viaje.html.exe
FUERA_la_LSSI.es_INNECESARIA.html.exe
ley de internet y el comercio electronico.txt.exe
ley lssi.pdf.exe
ley.pdf.exe
NO A LA LSSICE, otra internet es posible.txt.exe
NO_a_la_CENSURA_informativa.txt.exe
NO_a_la_MANIPULACION_informativa.html.exe
NO_al_control_informativo.html.exe
no_queremos_vivir_asi.html.exe
NO_queremos_vuestra_ley_DISCRIMINATORIA.doc.exe
NO_queremos_vuestra_ley_INCONSTITUCIONAL.html.exe
nuevo_virus_en_internet-LEEME.txt.exe
por_una_sociedad_mas_justa.html.exe
presentacion.exe
que no jueguen con tus libertades.txt.exe
README.txt.exe
resumen.txt.exe
Rg2catdb.exe
salvador_de_pantallas.scr
tarifa_plana_DE_VERDAD_ya.html.exe
texto integro de la lssice.txt.exe
texto.txt.exe
vuelve_la_INQUISICION.html.exe
www.lssi.es.exe
www.mcyt.com.exe
www.senado.lssice.es.exe
xscreensaver.scr
XXX.jpg.exe
Finalmente modifica el archivo WIN.INI en la carpeta de Windows, agregando la siguiente entrada:
[windows]
run = Windows_update.exe
Reparación manual
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows_update.exe
C:\Windows\Explorer.exe
C:\LSSI INFO.txt
C:\NO A LA LSSICE.txt
C:\i-worm_info.txt
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
WindowsUpdate
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run = Windows_update.exe
Debe quedar como:
[windows]
run=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el siguiente artículo:
http://www.vsantivirus.com/vulms03-020.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
24/oct/03 - Alias: W32.Lofni.Worm, W32/Noala@MM
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|