Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat


VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.

W32/Netav.A. Envío masivo de información personal
 
VSantivirus No. 911 - Año 7 - Sábado 4 de enero de 2003

W32/Netav.A. Envío masivo de información personal
http://www.vsantivirus.com/netav-a.htm

Nombre: W32/Netav.A
Tipo: Gusano de Internet
Alias: WORM_NETAV.A, W32/Netav.a@MM, Win32/Netav.A@mm, W32/Netav-C, Win32/Netav.A.Worm, W32.Netav.Worm, W32/NETAV@MM, I-Worm.Netav.a, I-worm.mv4&vr@mm
Fecha: 3/ene/03
Tamaño: 12,294 bytes
Plataforma: Windows 95, 98, Me, 2000, y XP.


Este gusano se propaga enviando mensajes infectados a direcciones extraídas de la libreta de direcciones de la máquina infectada (Windows Adress Book), y recolectados de archivos .HTM y .HTML en el caché del Internet Explorer.

Cuando se ejecuta por primera vez, el gusano muestra un mensaje de error falso con el siguiente texto:

Setup
This file does not work on this system
[    OK    ]

El mensaje enviado por el gusano tiene estas características:

Uno de los siguientes "Asuntos":

  • Hello
  • For you
  • Try it
  • Re:

Uno de los siguientes textos en el cuerpo del mensaje:

  • Hi
    Here is what you asked, bye.
  • Hello
    Maybe you could help me with this, bye.
  • Hello
    Now you can try it, bye.

Uno de los siguientes nombres para el adjunto (el propio gusano):

  • Setup.exe
  • Hgame.exe
  • Mininet.exe
  • Netav.exe

Cuando se ejecuta un jueves (todos los jueves del año), el gusano extrae hasta 20 documentos de Word (.DOC) de la carpeta personal del usuario (por defecto "C:\Mis Documentos"), y los envía como archivos adjuntos, con el consiguiente perjuicio a la privacidad del usuario infectado.

Mientras se ejecuta, el gusano examina la presencia del mutex llamado "MvMutex". 

Un "mutex" es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso.

Si el mutex mencionado existe, el gusano asume que ya se está ejecutando una copia de si mismo en memoria, y finaliza su ejecución actual.

Si el mutex no está, el gusano utiliza la función "RegisterService" del módulo KERNEL32.DLL de Windows (solo presente en las versiones de Windows 95, 98 y Me), para registrarse a si mismo como un servicio (presente para todos los usuarios, y oculto de la lista de tareas cuando se pulsa CTRL+ALT+SUPR).

Luego examina si ha sido ejecutado desde el archivo NETAV.EXE en C:\Windows\System. Si fuera así, indicaría que no es la primera vez que se ejecuta. En caso contrario asume que es su primera ejecución y muestra el mensaje de error falso mostrado al comienzo de esta descripción.

Si es la primera vez que se ejecuta, el gusano se copia en la siguiente ubicación:

C:\Windows\System\Netav.exe

También se agrega a la siguiente entrada del registro para autoejecutarse en próximos reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Netav Agent = C:\Windows\System\Netav.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Mientras está activo, el gusano busca el archivo ICMAIL.DLL en la carpeta System de Windows. Este archivo es creado por el propio gusano la primera vez que se ejecuta, y contiene las direcciones electrónicas recolectadas de la libreta de Windows, y de páginas .HTM y .HTML existentes en el directorio caché de Internet.

Si el archivo existe y la fecha es jueves, el gusano actualiza la lista de direcciones. Si no existe, crea dicho archivo.

Estando en memoria, el gusano entra en un bucle sin fin, examinando cada cinco minutos la presencia de una conexión a Internet activa. Una vez que ha una conexión disponible, procede a enviar copias de si mismo en un mensaje como el descripto, a todas las direcciones recogidas en ICMAIL.DLL.

Primero prueba a utilizar su propio motor SMTP para enviarse (no importa el cliente de correo instalado). La dirección del servidor SMTP es extraída de la siguiente clave del registro:

HKCU\Software\Microsoft\Internet Account Manager
Default Mail Account = [número de cuenta]

HKCU\Software\Microsoft\Internet Account Manager
\Accounts\[número de cuenta]
SMTP Server = [dirección servidor SMTP]

También busca estos datos en la siguiente rama (aunque no suele existir aquí esta información en todos los sistemas):

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Account Manager\Accounts\

Si no encontrara ningún servidor SMTP, utilizará los servicios MAPI (Messaging Application Programming Interface) para enviarse a través del Outlook u Outlook Express. MAPI es una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.

El gusano envía un máximo de 150 mensajes por vez, y cuando finaliza el envío, se quita a si mismo de memoria y finaliza su actividad hasta el próximo reinicio de Windows.

El gusano contiene el siguiente texto en su código:

---iworm.mv4&vr.by.tony/mvcrew---


Reparación manual

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\System\Netav.exe
C:\Windows\System\Icmail.dll

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Netav Agent

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS