Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Maldal.D. Nueva variante, sumamente destructivo
 
VSantivirus No. 540 - Año 6 - Domingo 30 de diciembre de 2001
W32/Maldal.D. Nueva variante, sumamente destructivo

VSantivirus No. 541 - Año 6 - Lunes 31 de diciembre de 2001 (actualización)
W32/Maldal.D. Muy destructivo (descripción actualizada)

Nombre: W32/Maldal.D
Tipo: Gusano de Internet
Alias: MALDAL.D, MALDAL, Win32.Maldal.E, WORM_MALDAL.D, W32.Maldal.D@mm
Fecha: 29/dic/01
Tamaño: 27 Kb (comprimido), 77,824 Bytes (descomprimido)
Fuente: Symantec, Computer Associates, McAfee, Trend Micro

[Este informe sustituye al enviado en el boletín 540, y surge a raíz de un examen más exhaustivo por parte de los diferentes fabricantes de antivirus].

Podría decirse que este gusano es una variante del W32/Reeezak.A (ver boletín 530), también conocido como Maldal.C. Lo cierto es que existe a esta altura, unos cuántos, llamados de diferentes maneras por los fabricantes de antivirus, que tienen muchas características en común.

Virus como Goner, Zacker, Reeezak, Hallad y Maldal (entre otros), parecen ser creados por la misma persona (se sospecha de un joven danés de 15 años), pero además, un mismo virus puede llamarse de diferentes maneras, lo que hace difícil su identificación, o por lo menos, aumenta la confusión natural de muchos usuarios.

Lo cierto es que esta variante (conocida como "D" para algunos, "E" para otros), se ha estado propagando bastante en las últimas horas (aunque mucho más en países anglosajones que en los latinos). Como siempre, hay discrepancias entre los diferentes fabricantes de antivirus sobre esto.

Maldal.C (como otros de su "familia") posee rutinas que borran archivos de conocidos antivirus y otras utilidades de seguridad, así como otros archivos de Windows, que luego causarán la inestabilidad del sistema, y en algunos casos, la imposibilidad de reiniciarlo sin hacer una reinstalación. Un claro síntoma es, al encender la computadora, el mensaje que indica la imposibilidad de encontrar a "WIN.COM", y por lo tanto de iniciar Windows.

El gusano está comprimido con la utilidad ASPack, y ha sido escrito en Visual Basic 5. Requiere la presencia de la librería MSVBVM50.DLL (Visual Basic Virtual Machine) para funcionar. Esta puede estar cargada por la acción de algún programa anterior que la haya requerido (en Windows 95 o 98). Windows Me y XP la incluyen por defecto.

Cuando el adjunto con el virus se ejecuta, se muestra este mensaje de error falso:

Project1
Runtime error ‘71’
Object Required

Luego de esto, el virus crea una copia de si mismo en el directorio del sistema de Windows, con el nombre de WIN.EXE (note que ya existe un WIN.COM en el directorio Windows), al mismo tiempo que queda instalado en la memoria como residente:

C:\Windows\System\WIN.EXE

También crea copias de si mismo en el directorio de los archivos temporales de Windows (\Windows\TEMP por defecto):

C:\Windows\TEMP\ZACKER.EXE
C:\Windows\TEMP\[nombre de la computadora].EXE

Mientras el virus está en memoria, puede verse en la lista de tareas (CTRL+ALT+SUPR), con el nombre de "Systary" (note que existe una tarea legítima de Windows llamada "Systray", no la confunda, la diferencia es una sola letra cambiada de lugar).

El gusano utiliza el Windows Scripting Host (WSH) para crear y modificar las entradas al registro, reenviarse masivamente por e-mail y borrar ciertos archivos del sistema infectado.

La primera de estas tareas es modificar el registro para ejecutarse en cada reinicio (que debido a las características destructivas del virus, tiene pocas probabilidades de ocurrir):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System = C:\Windows\System\WIN.EXE

Cambia el nombre actual de la computadora modificando la siguiente entrada en el registro:

HKLM\System\CurrentControlSet\control\ComputerName\ComputerName
ComputerName = "ZaCker"

Agrega las siguientes entradas al registro, que usa como marca de la infección:

HKEY_CURRENT_USER\Software
Microsoft = "5"

HKEY_USERS\.Default\Software
Microsoft = "5"

El segundo registro es un espejo del primero. Una vez que esta entrada en el registro es creada, el mensaje de error visto al principio, no vuelve a mostrarse cada vez que el gusano se ejecuta.

Como hemos dicho, el gusano posee rutinas destructivas. Primero, busca en todas las unidades de disco locales las siguientes carpetas, pertenecientes a conocidos antivirus y cortafuegos, y las borra junto con todo su contenido (en las versiones en inglés de Windows, el directorio es "Program Files" en lugar de "Archivos de programa". Esto lo toma del registro de Windows):

Archivos de programa\ZoneLabs
Archivos de programa\AntiViral Toolkit Pro
Archivos de programa\Command Software\F-PROT95
eSafe\Protect
PC-Cillin 95
PC-Cillin 97
Archivos de programa\Quick Heal
Archivos de programa\FWIN32
Archivos de programa\FindVirus
Toolkit\FindVirus
f-macro
Archivos de programa\McAfeeVirusScan95
Archivos de programa\Norton AntiVirus
TBAVW95
VS95
Rescue

Luego, borra archivos con las extensiones siguientes, de los directorios de Windows, Archivos de programas y carpetas personales:

HTM
PHP
HTML
COM
BAT
MDB
XLS
DOC
LNK
PPT
JPG
MPEG
INI
DAT
ZIP
TXT

La ubicación de la carpeta personal lo toma de la clave "Personal" en la siguiente rama del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Por defecto es:

Personal = C:\Mis Documentos

El gusano se propaga utilizando el Outlook. Usualmente obtiene las direcciones de correo para sus destinatarios, de archivos con extensión HTM y HTML encontrados en el disco duro. A cada dirección encontrada le envía un mensaje con una copia de si mismo como adjunto.

Utiliza el nombre de la computadora infectada como ASUNTO del mensaje y como nombre del archivo adjunto (al que le agrega la extensión .EXE). Esto lo hace con el nombre original de la computadora, aun después que el mismo es cambiado por el gusano (el nuevo nombre es ZACKER).

Sin embargo, existen reportes de versiones que se propagan (posiblemente en futuros reinicios de la computadora infectada) con el nombre ZACKER. Sin embargo, debido a la característica destructiva del virus, es poco probable que esta se pueda reiniciar luego de la primera infección.

Ej. para una computadora llamada PROJECTMAYHEM:

Asunto: PROJECTMAYHEM
Archivo adjunto: PROJECTMAYHEM.EXE

También (hay posibilidades):

Asunto: ZaCker
Archivo adjunto: ZACKER.EXE

Como texto, utiliza una de las siguientes frases (una por renglón), seleccionadas al azar:

Test this game
I wish u like it
I have got this file for you
Surprise !!!
download this game & have fun ;)
desktop maker ,you may need it ;)
have you ever got a gift !?
What women wants !
Don't waste any time ,Subscribe now 
Make your pc funny !
new program from my fun groups
Map of the world 
Create your Ecard
looooooooooooooooool
Send it to everybody you love 
Its made by me ;)
Our symbol 
If you have an elegant taste
Test your mind
1 + 1 = 3 !!!
See this file 
Singer , searsh for any song and sing ;) 
For everybody wants to marry a woman that he doesn't love !
nowadays , there is no womanhood !! :P
Just Try to fix it
Keep these advertisements run and earn 0.25 $ per 10 minute ;)

Para limpiar su PC

Si su PC se infecta, siga estos procedimientos (no reinicie aún su computadora hasta completar lo siguiente).

1. (Windows 95, 98 y Me). Pulse CTRL+ALT+SUPR y seleccione la tarea "Systary" (CUIDADO! No se confunda con la tarea autentica "Systray" de Windows, cambia una sola letra), márquela y pinche en el botón "Finalizar tarea". Reitere el procedimiento varias veces si no se obtiene respuesta (puede llegar a salir un mensaje de "Este programa no responde", acepte eliminarlo igual).

1. (Windows NT/2000). Pulse CTRL+ALT+SUPR, seleccione el manejador de tareas, y en la ventana de las tareas activas finalice el proceso llamado WIN.EXE.

2. Seleccione Inicio, Buscar, Archivos o carpetas, tecleé WIN.EXE y pulse ENTER

3. Si aparece WIN.EXE en Windows\System, bórrelo (Cuidado, no borre WIN.COM) en \Windows).

4. Borre con REGEDIT (Inicio, Ejecutar, escriba Regedit y pulse Enter), la clave "System" de la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

5. Pinche en la carpeta "Run" y borre en la ventana de la derecha la siguiente entrada:

System        "C:\Windows\System\WIN.EXE"

6. Si desea cambiar el nombre original de su PC, seleccione la siguiente rama del registro:

HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Control
ComputerName
ComputerName

7. Pinche en la segunda carpeta "ComputerName" (note que hay dos) y en el panel de la derecha pinche sobre el valor ComputerName, y cambie "Zacker" por el nombre del usuario al que está registrado Windows.

8. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios. Vacíe la papelera de reciclaje, y luego reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Ejecute un antivirus actualizado para examinar su PC y borre los archivos y mensajes que figuren como infectados por el virus.

En caso de activarse la rutina destructiva del virus, las posibilidades de restaurar el sistema disminuyen, debiéndose reinstalar Windows.

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutar la mayoría de sus acciones. Para deshabilitar el WSH, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Glosario

Windows Scripting Host (WSH). Es un interprete de Java Script y de Visual Basic Script, que puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus en dichos lenguajes. Está instalado por defecto en Windows 98 y posteriores.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS