VSantivirus No. 1071 Año 7, Viernes 13 de junio de 2003
W32/Nofear.A. Se envía a toda la libreta de direcciones
http://www.vsantivirus.com/nofear-a.htm
Nombre: W32/Nofear.A
Tipo: Gusano de Internet e infector de ejecutables
Alias: Trile, W32/Trile.A, W32/Nofear@MM, I-Worm.Fearso, Win32/Farex.A
Fecha: 12/jun/03
Plataforma: Windows 32-bit
Tamaño: 90,112 bytes
Se trata de un gusano capaz de propagarse a través del correo electrónico y de las utilidades de intercambio de archivos entre usuarios KaZaa y Shareaza. Además, intenta finalizar la ejecución de varios antivirus y cortafuegos, e infecta ejecutables del sistema.
Cuando un archivo infectado se ejecuta, infecta a otros ejecutables. El gusano inyecta un componente llamado "kernel.dll" dentro del espacio del proceso "Explorer.exe" (o sea dentro del proceso del entorno gráfico del propio Windows).
Los destinatarios de los mensajes infectados son seleccionados de la libreta de direcciones de Windows (WAB), del libro de direcciones del Eudora y de la lista de contactos del MSN Messenger.
Estas son las característica de esos mensajes:
Uno de los siguientes asuntos:
$150 FREE Bonus!!
25 merchants and rising!
Announcement!
Bad news!!
CALL FOR INFORMATION!
Click on this!
Correction of errors!
Cows
Daily Email Reminder!
Empty account!
Fantastic!
Free Shipping!
FSM32
Get 8 FREE issues - no risk!!
Get a FREE gift!
Greets!!
Hi!
History screen!
I need help about script!!!
Interesting...
Introduction
Its Easy! ing!
Just a reminder!
Lost & Found!
Market Update Report!
Membership Confirmation
My eBay ads!
New bonus in your cash account!
New Contests!
New Reading
News
Payment notices!
Please Help...
Report
SCAM alert!!!
Sponsors needed!
Star Wars II Movie
Stats
Today Only!!
Tools For Your Online Business!
Various!
Warning!
Wow!
Your Gift!
Your News Alert!!
Uno de los siguientes textos en el cuerpo del mensaje:
Attached one Gift for u..
Check the Attachment!
Check the Attachment..
Enjoy the Attachment!
Hi Check the Attachment ...
More details Attached!
See the Attachment!
Y como datos adjuntos, un archivo con dos extensiones. La primera parte del nombre es una de las siguientes:
bullshitscr
Checkfriends
Enjoylove
Freescreensaver
Friends
Friends4u
Friendscr
Friendsearch
friendsgreetings
friendship
friendship4u
friendshipbird
Friendshipforu
Friendsworld
fucker
Greetings
Love
Love4u
lovefinder
lovegreetings
Lovers
Loverscreensaver
Loversgang
Lovescr
Loveshore
Passion
passionup
Rishtha
saver
Screensaver
Screensaver4u
Screensaverforu
shakeit
Shakescr
shakingfriendship
shakinglove
Shareit
Sharelove
Truefriends
Truelovers
Urfriend
Werfriends
Como dijimos, el adjunto utiliza siempre dos extensiones, las que son tomadas de los siguientes grupos:
Primera extensión:
.bmp
.dat
.doc
.gif
.htm
.jpg
.mdb
.mp3
.mpg
.txt
.wav
.xls
Segunda extensión:
.bat
.pif
Ejemplos:
Lovers.bmp.pif
Enjoylove.mp3.bat
Cuando el adjunto se ejecuta, se muestra uno de estos mensajes de error:
Error
Fatal Exception 0E has ocurred at memory address
in module Vxd IOS(04)+memory address.
[ OK ]
Error
This File is Corrupted!
[ OK ]
Error
Error: Low System Performance!
[ OK ]
Error
Error: Can Not Find Config.INI!
[ OK ]
Luego, se crean los siguientes archivos:
c:\windows\[nombre al azar].exe
c:\windows\kernel.dll
c:\windows\svchost.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También crea copias de si mismo en la carpeta "My Downloads" (si no existe, la crea), con nombres diferentes, por ejemplo:
C:\My Downloads\
Age Of Sail 2 Patch.Exe
Age Of Wonders 2 Crack.Exe
Aim Account Stealer Crack.Exe
Aim Account Stealer Iso - Full Downloader.Exe
Black And White Full Downloader.Exe
Black And White Patch.Exe
Borland Delphi 7 Crack.Exe
Borland Delphi 7 Patch.Exe
Cat Attacks Child Patch.Exe
Civilization 3 Full Downloader.Exe
Clive Barker’s Undying Key Generator.Exe
Comanche 4 Patch.Exe
Crazy Taxi Full Downloader.Exe
Duke Nukem Manhattan Project Patch.Exe
Dweebs 2 Crack.Exe
Empire Earth Crack.Exe
Free Virus Removal Tool From Symantec Patch.Exe
Freedom Force Full Downloader.Exe
Gladiator Iso - Full Downloader.Exe
Grand Prix 4 Patch.Exe
Grand Theft Auto 3 Patch.Exe
Gta 3 Iso - Full Downloader.Exe
Gta3 Key Generator.Exe
Half Life Blue Shift Crack.Exe
Half-Life Online Crack.Exe
Hitman 2 Silent Assassin Full Downloader.Exe
Industry Giant 2 Full Downloader.Exe
International Cricket Captain 2003 Full Downloader.Exe
Internet And Computer Speed Booster Key Generator.Exe
Kazaa Media Desktop V2.5 Unofficial Full Downloader.Exe
Kazaa Spyware Remover Iso - Full Downloader.Exe
Microsoft Office Xp (English) Patch.Exe
Need For Speed 5 Porsche Unleashed Patch.Exe
Nero Burning Rom 5.8.0.1 Patch.Exe
Neverwinter Nights Full Downloader.Exe
Norton Utilities 2002 Xp Full Downloader.Exe
Prisoner Of War Crack.Exe
Quake 3 Arena Key Generator.Exe
Red Ace Squadron Key Generator.Exe
Sims Crack.Exe
Soldiers Of Anarchy Crack.Exe
Soldiers Of Anarchy Key Generator.Exe
Star Wars Starfighter Iso - Full Downloader.Exe
Stronghold Crusader Patch.Exe
Sudden Strike 2 Iso - Full Downloader.Exe
The Sun Of All Fears Key Generator.Exe
Valhalla Chronicles Crack.Exe
Windows Xp Full Downloader.Exe
Windows Xp Sp1 Crack.Exe
Xbox.Info Patch.Exe
Estos mismos archivos son copiados en la carpeta "c:\windows\Drivers".
Luego modifica la carpeta por defecto del KaZaa para apuntar a esta última carpeta:
HKEY_CURRENT_USER\Software\KAZAA\LocalContent
Además modifica la carpeta por defecto de la utilidad Shareaza para que apunte a "C:\My Downloads\".
De ese modo tanto los usuarios de KaZaa como de Shareaza, se infectarán si descargan y ejecutan algunos de esos archivos.
El gusano también crea las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\[nombre al azar].exe
HKEY_LOCAL_MACHINE\SOFTWARE\VS###
Donde ### es un dígito con la cantidad de mensajes infectados enviados hasta el momento (esta clave se va modificando).
El gusano puede finalizar todos los procesos que contengan algunos de estas cadenas en su nombre (corresponden a conocidos antivirus y cortafuegos):
_avp32
_avpcc
_avpm
Ackwin32
Advxdwin
Agentw.Exe
Alertsvc
Alogserv
Amon9x
Anti-Trojan
Ants
Apvxdwin
Atcon
Atupdater
Atwatch
Autodown
Avconsol
Avgcc32
Avgctrl
Avgserv
Avgserv9
Avgw
Avkpop
Avkserv
Avkservice
Avkwctl9
Avp C
Avp32
Avpcc
Avpm
Avpm.Exe
Avsched32
Avsynmgr
Avwinnt
Avxmonitor9x
Avxmonitornt
Avxquar
Avxquar.Exe
Avxw
Blackd
Blackice
C.Exe
Ccapp.Exe
Ccevtmgr
Ccevtmgr.Exe
Ccpxysvc.Exe
Cdp
Cdp.Exe
Cfgwiz
Claw95
Claw95c
Cleaner
Cleaner3
Cmgrdian
Connectionmonitor
Cpd
Cpd At
Cpdclnt
Cpdclnt.Exe
Ctrl
Ctrl.Exe
Defalert
Defscangui
Defwatch
Doors H
Doors.Exe
Dvp95
Dvp95_0
Efpeadm
Efpeadm.Exe
Etrustcipe
Etrustcipe.Exe
Evpn.Exe
Expert
F-Agnt95
Fameh32
Fch32
Fih32
Fnrb32
F-Prot
F-Prot95
Fp-Win
Frw Erv
Fsaa
Fsav32
Fsgk32
Fsgk32.Exe
Fsma32
Fsmb32
F-Stopw
Gbmenu
Gbpoll
Generics
Guard
Iamapp
Iamserv
Iamserv
Iamstats
Icload95
Icloadnt
Icmon
Icsupp95
Icsuppnt
Iface
Iomon98
Isrv95
Itor
Jedi
Ldnetmon
Ldpromenu
Ldscan
Lockdown
Lockdown2000
Luall
Lucomserver
Luspt
Mcagent
Mcmnhdlr
Mctool
Mcupdate
Mcvsrte
Mcvsshld
Mgavrtcl
Mgavrte
Mghtml
Minilog
Monitor
Moolive
Mpfagent.Exe
Mpfservice
Mpftray.Exe
Mwatch
Nav Auto-Protect
Navap
Navapsvc
Navapw32
Navengnavex15
Navlu32
Navw32
Navwnt
Ndd32
Neowatchlog
Netutils
Nisserv
Nisum
Nmain
Normist
Notst Art
Nprotect
Nprotect.Exe
Npssvc
Nsched32
Ntrtscan
Ntvdm
Ntxconfig
Nui An
Nupgrade
Nvc95 T
Nvsvc32
Nwservice
Nwtool16
Padmin
Pavproxy
Pcciomon
Pccntmon
Pccwin97
Pccwin98
Pcscan
Persfw
Perswf
Pop3trap
Poproxy
Portmonitor
Processmonitor
Programauditor
Pview95
P-Win.Exe
R.Exe
Rav7
Rav7win
Realmon
Rescue
Rtvscn95
Rulaunch
Sbserv
Scan32
Scrscan
Smc
Sphinx
Spyxx
Ss3edit
Sweep95
Sweepnet
Sweepsrv.Sys
Swnetsup
Symproxysvc H1
Symtray
Taumon
Tc
Tca
Tcm
Tds-3 Di
Tfak
Vbcmserv
Vbcons
Vet32
Vet95
Vettray
Vir-Help
Vpc32
Vptray
Vsched
Vsecomr
Vshwin32
Vsmain
Vsmon
Vsstat
Watchdog
Webscanx
Webtrap
Wgfe95
Wimmun32
Wradmin
Wradmin.Exe
Wrctrl
Zapro
Zonealarm
Finalmente el gusano puede infectar archivos ejecutables de Windows, agregando su código al principio de los mismos.
Reparación manual
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Repare o borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
[nombre al azar]
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\VS[números]
5. Pinche en la carpeta "VS[números]" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|