VSantivirus No. 950 - Año 7 - Miércoles 12 de febrero de 2003
W32/Maax.A. Datos adjuntos: Tca.exe (11,776 bytes)
http://www.vsantivirus.com/maax-a.htm
Nombre: W32/Maax.A
Tipo: Gusano de Internet
Alias: W32.HLLW.Maax@mm, Worm.P2P.Axam
Fecha: 10/feb/03
Tamaño: 11,776 bytes
Plataforma: Windows 32-bits
Este gusano, escrito en Microsoft Visual Basic 6 y comprimido con la utilidad UPX. Se propaga a través de varias utilidades de intercambio de archivos entre usuarios tipo KaZaA, Morpheus, Edonkey, Grokster, Limewire, BearShare y otros, además del correo electrónico.
El mensaje puede tener estas características:
Asunto: [al azar tomado de la siguiente lista]:
Are you a Bussiness man?
Care to trade world map?
DAA Holding have an Idea for Bussiness man
Do you have an enough salaries for you job?
Don't missed Logon to DAABussiness.com
Don't waste you money!
Good Idea For ya!
Great Job for Professional Programmer
Hello man!
Hey, how are you?
Hi! ;)
How to make a money in one day?
How to prevent from Pirate CD!
HOW TO PREVENT YOUR EMAIL FROM VIRUSES?
IMPORTANT DISCUSSION!
Job for you!
NICE TO MEET YOU!
No More Blood!
Trade and Care about customer!
Who's should be attacked first?
Texto del mensaje:
Hello Mr/Mrs/Sir/Mdm, <Destinatario>
I have an Idea for you, This will make your business
more efficient. To download this important tips just
click here <enlace a un archivo en Internet> or you
can downloaded the files from an attachment.
Regard,
Alexander Joshia
Executive Manager of DAA Holding
Datos adjuntos: Tca.exe (11,776 bytes)
El gusano puede finalizar los siguientes procesos conocidos de antivirus que estén monitoreando en la memoria.
_Avp32.exe
_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Anti-Trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
ccApp.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Cmd.exe
Command.com
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
F-Agnt95.exe
Findviru.exe
F-Prot.exe
Fprot.exe
F-Prot95.exe
Fp-Win.exe
Frw.exe
F-Stopw.exe
HH.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Regedit.com
Regedit.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tds2-98.exe
Tds2-Nt.exe
VControl.exe
Vet95.exe
Vettray.exe
Vscan40.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe
También puede llegar a formatear las unidades C y D. Para ello modifica el archivo C:\AUTOEXEC.BAT (no está en todas las versiones de Windows). Este archivo se ejecuta cada vez que se reinicia la computadora. En dicho archivo, el gusano agrega los comandos para proceder al formateo, sin advertencia alguna, de las unidades de disco duro C y D.
Al principio, el gusano se copia a si mismo en las siguientes ubicaciones y con los siguientes nombres:
C:\WINDOWS\Menú Inicio\Programas\Inicio\Axam.exe
C:\WINDOWS\Application Data\Axam.exe
"C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También se copia en las siguientes carpetas:
C:\Program Files\KMD\My Shared Folder\Axam.exe
C:\Program Files\Kazaa\My Shared Folder\Invisible_man.exe
C:\Program Files\KaZaA Lite\My Shared Folder\AjeedNASA.exe
C:\Program Files\Morpheus\My Shared Folder\Blaster.exe
C:\Program Files\Grokster\My Grokster\XXX_HOTSEX.exe
C:\Program Files\BearShare\Shared\Fxbgbear.exe
C:\Program Files\Edonkey2000\Incoming\Setup_flash.exe
C:\Program Files\limewire\Shared\Super Mario.exe
Además, modifica la asociación por defecto de los archivos .EXE (exefile), por una propia llamada Spitmaxa:
HKEY_CLASSES_ROOT\.exe
(Predeterminado) = Spitmaxa
Crea la siguiente entrada:
HKEY_CLASSES_ROOT\Spitmaxa
El gusano se ejecutará cada vez que el usuario llame un archivo .EXE (la mayoría de los programas que se ejecutan en Windows).
También agrega la siguiente rama al registro para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Sysaxam32 = C:\Windows\Application Data\Axam.exe
Luego se envía en forma masiva vía correo electrónico, utilizando para ello el Outlook Express.
El mensaje ya ha sido descripto en este mismo artículo.
El gusano muestra una ventana con este mensaje al ejecutarse:
Título de la ventana:
PreSeNt Axam Spitmaxa WOrM
Texto de la ventana:
-=< GReeTz to AsEaN HacKeRs GrOuP >=-
> MelHacKer
> InVisible_man
> AjeedNASA
> Zied666
> Foot-art
> PakBrain
aNd All mY fRieNd iN thE World...
Melljhacker, Inc. (c)Copyright 1995-2003.
All Right Reserved.
[ OK ]
Para eliminar el gusano de un sistema infectado
Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\.exe
5. Pinche sobre la carpeta ".exe". En el panel de la derecha debería ver algo como:
(Predeterminado) = Spitmaxa
6. Pinche sobre "(Predeterminado)" y borre "Spitmaxa". En su lugar escriba lo siguiente:
exefile
7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\Spitmaxa
8. Pinche en la carpeta "Spitmaxa" y bórrela.
9. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
10. Pinche sobre la carpeta "Run". En el panel de la derecha borre la siguiente entrada:
sysaxam32 = C:\WINDOWS\Application Data\Axam.exe
Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre todas las líneas que contengan el comando FORMAT si ésta existiera:
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Archivos compartidos
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|