VSantivirus No. 942 - Año 7 - Martes 4 de febrero de 2003
W32/P2P.Lolol.C y D. "Syscfg32.exe" (C), "Winsys.exe" (D)
http://www.vsantivirus.com/lolol-c.htm
Nombre: W32/P2P.Lolol.C
Tipo: Gusano de Internet (P2P)
Alias: W32/Lolol.C, I.worm.C.Lolol, Worm.P2P.Lolol.c, Win32/HLLW.Lolol.C, W32/Lolol-C
Fecha: 3/feb/03
Tamaño: 57,376 bytes
Este gusano, variante del Lolol.A (http://www.vsantivirus.com/lolol.htm) se propaga a través de la red de intercambio de archivos entre usuarios (Peer-To-Peer), KaZaa.
Posee además, cualidades de troyano de acceso remoto (backdoor), que le permiten conectarse a un canal de IRC, desde donde puede recibir comandos directos de parte de un atacante.
El gusano es un ejecutable en formato PE (Portable Executable), escrito en Microsoft Visual C++.
Cuando se ejecuta un archivo infectado, el gusano se copia así mismo en la carpeta System de Windows:
C:\Windows\System\SYSCFG32.EXE
"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
Luego ingresa este camino en dos entradas del registro, ambas usadas para autoejecutarse en cada reinicio de la computadora:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Configuration Loader = syscfg32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader = syscfg32.exe
El gusano se copia también en las siguientes carpetas:
C:\Archivos de programa\kaZaa lite\my shared folder\
C:\Archivos de programa\KaZaa\my shared folder\
C:\My Downloads\
Y utiliza los siguientes nombres de archivos:
100 free essays school.pif
age of empires 2 cheats.exe
age of empires 2 crack.exe
age of empires 2 help.exe
age of empires 2 keygen.exe
age of empires 2 serial.pif
age of empires 2 serials.pif
age of empires 2.exe
aim cracker.exe
aim password cracker
anarchist cookbook.pif
aol cracker.exe
aol password cracker.exe
divx pro.exe
driver.exe
fireworks crack.exe
fireworks serial.pif
fireworks.exe
fuck.exe
GTA 3 Crack.exe
GTA 3 Serial.exe
gta3.exe
hondra screen saver.scr
HotGirls.exe
hotmail hack.exe
how to hack.exe
how to use a shell.pif
NBA 2003 Crack.exe
NBA 2003 serials.epif
NBA 2003.exe
pamela anderson screen saver.scr
play station emulator crack.exe
play station emulator.exe
porn screen saver.scr
steal usernames.exe
super mario bros.exe
super mario brothers.exe
supra screen saver.scr
ut 2k3.exe
ut 2k3.pif
virtua girl - adriana.pif
virtua girl - ALL.pif
virtua girl - bailey short skirt.pif
virtua girl - bunny.pif
virtua girl - business woman.pif
virtua girl - chole.pif
virtua girl - completely nude.pif
virtua girl - courtney.pif
virtua girl - hells angels.pif
virtua girl - jammie williams.pif
virtua girl - jenn.pif
virtua girl - judith.pif
virtua girl - mandy.pif
virtua girl - melina black pepper.pif
virtua girl - nikki taylor.pif
virtua girl - nikki.pif
virtua girl - Rebecca.pif
virtua girl - tennis girl.pif
virtua girl - vera.pif
virtua girl - victoria.pif
virtua girl - wet and wild.pif
Virtua Girl (Full).exe
Virtua Sex.exe
virtual girl - adriana.pif
virtual girl - ALL.pif
virtual girl - bailey short skirt.pif
virtual girl - bunny.pif
virtual girl - business woman.pif
virtual girl - chole.pif
virtual girl - completely nude.pif
virtual girl - courtney.pif
virtual girl - hells angels.pif
virtual girl - jammie williams.pif
virtual girl - jenn.pif
virtual girl - judith.pif
virtual girl - mandy.pif
virtual girl - melina black pepper.pif
virtual girl - nikki taylor.pif
virtual girl - nikki.pif
virtual girl - Rebecca.pif
virtual girl - tennis girl.pif
virtual girl - vera.pif
virtual girl - victoria.pif
virtual girl - wet and wild.pif
warcraft 3 crack.exe
warcraft 3 serials.pif
winxp.iso.pif
worldbook.exe
El gusano, al igual que la versión "A" puede propagarse a través del IRC, utilizando el popular programa cliente mIRC. También utiliza el IRC para la conexión del troyano incluido con el atacante. Para ello se conecta a los siguientes servidores:
bawts.no-ip.com
atlanta.ga.us.undernet.org
El virus sobrescribe el archivo SCRIPT.INI en la carpeta "C:\mIRC" o "C:\Archivos de programa\mIRC", si estas existen, con el código necesario para enviarse a todos los participantes de un canal de chat, incluyendo su troyano de acceso remoto.
El troyano puede realizar algunas de estas acciones:
- Enviar información del sistema infectado, como velocidad del CPU sistema operativo instalado, cantidad de memoria
RAM, dirección IP y nombre del host actual.
- Abrir una dirección URL en forma remota
- Usar el sistema para enviar paquetes a otros hosts
- Crear clones en determinados canales
- Ejecutar o abrir archivos en forma remota
- Usar el bot para descarga y actualización de su propio código
- Desinstalarse el mismo del sistema
- Utilizar el sistema afectado como un proxy para las conexiones a otros hosts (redireccionarlas)
El siguiente texto se encuentra en el código del gusano:
eRiC iRc
Nombre: W32/P2P.Lolol.D
Tipo: Gusano de Internet (P2P)
Alias: W32/Lolol.D, Worm.P2P.Lolol.d, Win32/HLLW.Lolol.D, W32/Lolol-D
Fecha: 3/feb/03
Tamaño: 60,448 bytes
Los detalles de Lolol.D son prácticamente iguales a los de la versión C del gusano.
Las diferencias más notorias son:
1. Cuando se ejecuta un archivo infectado, el gusano se copia el mismo en la carpeta System de Windows:
C:\Windows\System\winsys.exe
2. Se copia al registro con las siguientes modificaciones:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Configuration Loader = winsys.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader = winsys.exe
3. Agrega las siguientes acciones al troyano instalado:
- Examina si el troyano SubSeven se encuentra activo o inactivo en el sistema infectado
- Comprueba si WinMX, una utilidad tipo KaZaa, está activa en la máquina afectada
- Comprueba el estado (activo o inactivo) del servidor de FTP en el sistema atacado
- Deshabilita el acceso nulo a las IPC$ compartidas en el sistema
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Deshabilitar las carpetas compartidas de WinMX
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute WinMX.
2. Seleccione la lengüeta "Shared Files".
3. Pinche en "Unshare Folder" y seleccione cada una de las carpetas listadas, hasta quitarlas todas.
4. Pinche en "Aceptar", etc.
Reparación manual
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Configuration Loader
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
Configuration Loader
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|