VSantivirus No. 1044 Año 7, Sábado 17 de mayo de 2003
W32/Maax.B. Datos adjuntos: "Tca.exe"
http://www.vsantivirus.com/maax-b.htm
Nombre: W32/Maax.B
Tipo: Gusano de Internet
Alias: W32.HLLW.Maax.B@mm, Win32/Maax.b, W32.P2P.B.Axam, Win32.Axam.B.Worm
Fecha: 14/may/03
Tamaño: 14,336 bytes
Plataforma: Windows 32-bits
Este gusano, escrito en Microsoft Visual Basic 6 y comprimido con la utilidad UPX. Se propaga a través de varias utilidades de intercambio de archivos entre usuarios tipo KaZaA, Morpheus, Edonkey, Grokster, Limewire, BearShare y otros, además del correo electrónico.
El mensaje puede tener estas características:
Asunto: [al azar tomado de la siguiente lista]:
Are you a Bussiness man?
Care to trade world map?
DAA Holding have an Idea for Bussiness man
Do you have an enough salaries for you job?
Don't missed Logon to DAABussiness.com
Don't waste your money!
Good Idea For ya!
Great Job for Professional Programmer
HAVE A NICE DAY!
Hi! ;)
How to make a money in one day?
How to prevent from Pirate CD!
HOW TO PREVENT YOUR EMAIL FROM VIRUSES?
Job for you!
News: US vs Iraq Issue
No More Blood!
Strike on Iraq
Trade and Care about customer!
WHEN US GOVERMENT TO STOP THE INVADED IN IRAQ?!
Why US invade on Iraq?
Texto del mensaje:
Dear Mr/Mrs/Sir/Mdm,
Are you tired to get the customer. It is important
to know how to make your bussiness more efficient.
To get a tips and more advise. You can download it
from the attachment or just click here [enlace a un
archivo ejecutable en Internet] to download from our
FTP site.
Regard,
Yamamoto Hashimura,
Software Engineer of DAA Holding
Datos adjuntos: Tca.exe (11,776 bytes)
El gusano puede finalizar los siguientes procesos conocidos de antivirus que estén monitoreando en la memoria.
_Avp32.exe
_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Anti-Trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
ccApp.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Cmd.exe
Command.com
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
F-Agnt95.exe
Findviru.exe
F-Prot.exe
Fprot.exe
F-Prot95.exe
Fp-Win.exe
Frw.exe
F-Stopw.exe
HH.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Regedit.com
Regedit.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tds2-98.exe
Tds2-Nt.exe
VControl.exe
Vet95.exe
Vettray.exe
Vscan40.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe
Cuando se ejecuta por primera vez, muestra una ventana con el siguiente mensaje:
Axam Spitmaxa Worm II
W32.HLLW.Maax.B@mm
W32.P2P.B.Axam
Win32.Axam.B.Worm
and whatever...
[ OK ]
Al principio, el gusano se copia a si mismo en las siguientes ubicaciones y con los siguientes nombres:
c:\windows\command.exe
c:\windows\regedit.exe
c:\windows\setup_axm.exe
c:\windows\system\iosys.exe
c:\windows\system\msconfig.exe
c:\windows\system\taskmgr.exe
NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
También se copia en las siguientes carpetas, (si existen):
c:\archivos de programa
\Kazaa\My Shared Folder\FlashMXPlayer.exe
\KaZaA Lite\My Shared Folder\XiaoXiao.exe
\BearShare\Shared\setup.exe
\Edonkey2000\Incoming\RA2_Update.exe
\limewire\Shared\FixRUNDLL bugs.exe
\KMD\My Shared Folder\AXM_WORM.exe
\Morpheus\My Shared Folder\Bugbear_Removal.exe
\Grokster\My Grokster\SEXisFUN.exe
Se copia a si mismo en todas las carpetas raíz con este nombre:
\axam_screensaver.scr
Además, modifica la asociación por defecto de los archivos .EXE (exefile), por una propia llamada Spitmaxa:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\.exe
(Predeterminado) = Spitmaxa
Crea la siguiente entrada:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Spitmaxa
El gusano se ejecutará cada vez que el usuario llame un archivo .EXE (la mayoría de los programas que se ejecutan en Windows).
También agrega la siguiente rama al registro para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Sysaxam32 = C:\Windows\Application Data\Axam.exe
Modifica el archivo WIN.INI:
[windows]
load = c:\windows\setup_axm.exe
run = c:\windows\system\iosys.exe
Y también modifica el archivo SYSTEM.INI:
[boot]
shell = Explorer.exe setup_axm.exe
También puede llegar a formatear las unidades C y D. Para ello modifica el archivo C:\AUTOEXEC.BAT (no está en todas las versiones de Windows). Este archivo se ejecuta cada vez que se reinicia la computadora. En dicho archivo, el gusano agrega los comandos para proceder al formateo, sin advertencia alguna, de las unidades de disco duro C y D.
También puede borrar todos los archivos de cualquier disquete presente en la unidad A, si no está protegido contra grabación por la respectiva lengüeta.
Luego se envía en forma masiva vía correo electrónico, utilizando para ello el Outlook Express.
El mensaje ya ha sido descripto en este mismo artículo.
Para eliminar el gusano de un sistema infectado
El gusano sobrescribe las herramientas REGEDIT.EXE y MSCONFIG.EXE (entre otros archivos), por lo que la limpieza en forma manual presenta ciertas dificultades. Los usuarios de Windows NT, 2000 y XP, pueden ejecutar REGEDT32.EXE, pero renombrándolo antes como REGEDT32.COM y seguir los pasos indicados para REGEDIT.COM.
Los usuarios de Windows 98 deberán conseguir un archivo REGEDIT.EXE de otra computadora con ese sistema operativo y copiarlo en C:\Windows con el nombre de REGEDIT.COM, luego seguir el paso (3) en adelante.
En ambos casos, después de realizar la limpieza correspondiente, es posible sea necesario reinstalar Windows sobre la instalación actual, ejecutando el correspondiente INSTALAR desde el CD, dentro de Windows.
Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\.exe
5. Pinche sobre la carpeta ".exe". En el panel de la derecha debería ver algo como:
(Predeterminado) = Spitmaxa
6. Pinche sobre "(Predeterminado)" y borre "Spitmaxa". En su lugar escriba lo siguiente:
exefile
7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\Spitmaxa
8. Pinche en la carpeta "Spitmaxa" y bórrela.
9. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente
rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
10. Pinche sobre la carpeta "Run". En el panel de la derecha borre la siguiente entrada:
sysaxam32 = C:\WINDOWS\Application Data\Axam.exe
Editar el archivo WIN.INI y SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
load = c:\windows\setup_axm.exe
run = c:\windows\system\iosys.exe
Debe quedar como:
[Windows]
load =
run =
3. Grabe los cambios y salga del bloc de notas.
4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
5. Busque lo siguiente:
[boot]
shell = Explorer.exe setup_axm.exe
y déjelo así:
[boot]
shell = Explorer.exe
6. Grabe los cambios y salga del bloc de notas
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre todas las líneas que contengan el comando FORMAT si ésta existiera:
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Archivos compartidos
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|