Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Nofear.C. Infecta ejecutables y elimina antivirus
 
VSantivirus No. 1081 Año 7, Lunes 23 de junio de 2003

W32/Nofear.C. Infecta ejecutables y elimina antivirus
http://www.vsantivirus.com/nofear-c.htm

Nombre: W32/Nofear.C
Tipo: Gusano de Internet e infector de ejecutables
Alias: W32/Trile.C, W32/Nofear.c@MM, I-Worm.Fearso.c, Win32/Farex.C, W32/Nofer-C, PE_NOFEAR.C, W32/Nofer.C@mm, W95/Fearso.C@mm
Fecha: 23/jun/03
Plataforma: Windows 32-bit
Tamaño: ~48 Kb

Variante similar a las anteriores, con pequeñas diferencias en su código. Se trata de un gusano capaz de propagarse a través del correo electrónico y de las utilidades de intercambio de archivos entre usuarios KaZaa y Shareaza. Además, intenta finalizar la ejecución de varios antivirus y cortafuegos, e infecta ejecutables del sistema.

Cuando un archivo infectado se ejecuta, infecta a otros ejecutables. El gusano inyecta un componente llamado "kernel.dll" dentro del espacio del proceso "Explorer.exe" (o sea dentro del proceso del entorno gráfico del propio Windows).

Además, abre el puerto 555 con la intención de vulnerar la protección de algunos cortafuegos.

Los destinatarios de los mensajes infectados son seleccionados de la libreta de direcciones de Windows (WAB), del libro de direcciones del Eudora y de la lista de contactos del MSN Messenger.

Estas son las característica de esos mensajes:

Uno de los siguientes asuntos:

$150 FREE Bonus!!
25 merchants and rising!
Announcement!
Bad news!!
CALL FOR INFORMATION!
Click on this!
Correction of errors!
Cows
Daily Email Reminder!
Empty account!
Fantastic!
Free Shipping!
FSM32
Get 8 FREE issues - no risk!!
Get a FREE gift!
Greets!!
Hi!
History screen!
I need help about script!!!
Interesting...
Introduction
Its Easy! ing!
Just a reminder!
Lost & Found!
Market Update Report!
Membership Confirmation
My eBay ads!
New bonus in your cash account!
New Contests!
New Reading
News
Payment notices!
Please Help...
Report
SCAM alert!!!
Sponsors needed!
Star Wars II Movie
Stats
Today Only!!
Tools For Your Online Business!
Various!
Warning!
Wow!
Your Gift!
Your News Alert!!

Uno de los siguientes textos en el cuerpo del mensaje:

Attached one Gift for u..
Check the Attachment!
Check the Attachment..
Enjoy the Attachment!
Hi Check the Attachment ...
More details Attached!
See the Attachment!

Y como datos adjuntos, un archivo con dos extensiones. La primera parte del nombre es una de las siguientes:

bullshitscr
Checkfriends
Enjoylove
Freescreensaver
Friends
Friends4u
Friendscr
Friendsearch
friendsgreetings
friendship
friendship4u
friendshipbird
Friendshipforu
Friendsworld
fucker
Greetings
Love
Love4u
lovefinder
lovegreetings
Lovers
Loverscreensaver
Loversgang
Lovescr
Loveshore
Passion
passionup
Rishtha
saver
Screensaver
Screensaver4u
Screensaverforu
shakeit
Shakescr
shakingfriendship
shakinglove
Shareit
Sharelove
Truefriends
Truelovers
Urfriend
Werfriends

Como dijimos, el adjunto utiliza siempre dos extensiones, las que son tomadas de los siguientes grupos:

Primera extensión:

.bmp
.dat
.doc
.gif
.htm
.jpg
.mdb
.mp3
.mpg
.txt
.wav
.xls

Segunda extensión:

.bat
.pif
.scr

Ejemplos:

Lovers.bmp.pif
Enjoylove.mp3.bat

El icono del adjunto, casi siempre es el mismo que el usado por WinRAR, un conocido compresor de archivos.

Cuando el adjunto se ejecuta, se muestran mensajes de error como estos:

Error
Stack overflow
[   OK   ]

Error
This Software need more virtual memory!
[   OK   ]

Error
Application attempted to read memory at 0xFFFFFFFFh!
[   OK   ]

Error
This File is Corrupted!
[   OK   ]

Error
This software need MSIO32.DLL
[   OK   ]

Luego, se crean los siguientes archivos:

c:\windows\[nombre al azar].exe
c:\windows\svchost.exe
c:\windows\kernel.dll (~70 Kb)

Los dos primeros son copias del propio gusano, y tienen 48 Kb. aproximadamente.

NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).

También crea copias de si mismo en la carpeta "My Downloads" (si no existe, la crea en el raíz de la unidad C):

C:\My Downloads\

Los nombres de sus copias, son formados con la combinación de los siguientes componentes [Primera parte]+[Segunda parte].

Primera parte:

Age Of Empires 2
Age Of Sail 2
Age Of Wonders 2
AikaQuest3Hentai
AIM Account Stealer
Aliens versus Predator 2 Primal Hunt
Austerlitz Napoleons Greatest Victory
Battle.net
Black And White
Borland Delphi 6
BORLAND Delphi 7
Cabelas Ultimate Deer Hunt 2
Cat Attacks Child
Civilization 3
CKY3 - Bam Margera World Industries Alien Workshop
Clive Barker’s Undying
CloneCD
Comanche 4
Combat Flight Simulator 3
Crazy Taxi
Critical Point Manga game
Dark Age Of Camelot Shrouded Isles
Deadly Dozen
DSL Modem Uncapper
Duke Nukem Manhattan Project
Dweebs 2
Elder Scrolls III Morrowind THX Brrbrr
Emperor Rise Of the Middle Kingdom
Empire Earth
F1 Grand Pix 4
Free Virus Removal Tool From Symantec
Freedom Force
Gearhead Garage
Gladiator
Grand Prix 4
Grand Theft Auto 3
Gta 3
GTA 3
Gta3
Hacking Tool Collection
Half Life Blue Shift
Half-life ONLINE
Half-life WON
Hard Truck 18 Wheels of Steel
Hitman 2 Silent Assassin
Hoyle Card Games 2003
Industry Giant 2
International Cricket Captain 2003
Internet and Computer Speed Booster
KaZaA Media Desktop v2.5 UNOFFICIAL
KaZaA Spyware Remover
LordOfTheRingsr
Macromedia
Macromedia Dreamweaver MX
Macromedia Flash 5.0
Mafia
Microsoft Office XP (English)
MoviezChannelsInstaler
MS Train Simulator
MSN Password Hacker and Stealer
Necromania Trap Of Darkness
Need For Speed 5 Porsche Unleashed
Nero Burning Rom 5.8.0.1
Neverwinter Nights
Norton AntiVirus 2002
Norton Utilities 2002 Xp
Prisoner Of War
Quake 3 Arena
Quake 4 BETA
Red Ace Squadron
Shakira
Sims
SIMS
Soldier Of Fortune 2
Soldiers Of Anarchy
Squad Battles Eagles Strike
Star Wars II Movie
Star Wars Starfighter
Strike Fighter Project 1
Stronghold Crusader
Sudden Strike 2
The Eye Of Kraken
The Neverending Story Part I
The Sun Of All Fears
The Thing
Tomb Raider 3
Unreal Tournament 3
Valhalla Chronicles
Warcraft 3
Warcraft 3 battle.net
Warcraft 3 ONLINE
Windows XP
Windows XP SP1
Winrar 3.2
Winzip 8.0
Xbox.Info
Zidane-ScreenInstaler
ZoneAlarm Firewall

Segunda parte:

Crack.exe
Full Downloader.exe
ISO - Crack.exe
ISO - Full Downloader.exe
ISO - Key Generator.exe
ISO - Patch.exe
Key Generator.exe
Patch.exe

Ejemplos:

Warcraft 3 ONLINE Full Downloader.exe
Winzip 8.0 ISO - Full Downloader.exe
Xbox.Info Crack.exe
Unreal Tournament 3 Patch.Exe

Estos mismos archivos son copiados en la carpeta "c:\windows\Drivers".

Luego modifica la carpeta por defecto del KaZaa para apuntar a esta última carpeta:

HKEY_LOCAL_MACHINE\Software\Kazaa\LocalContent
Dir2 = 012345:c:\windows\Drivers

Además modifica la carpeta por defecto de la utilidad Shareaza para que apunte a "C:\My Downloads\".

De ese modo tanto los usuarios de KaZaa como de Shareaza, se infectarán si descargan y ejecutan algunos de esos archivos.

El gusano también crea las siguientes entradas en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\[nombre al azar].exe

HKEY_LOCAL_MACHINE\SOFTWARE\[nombre al azar]

Donde [nombre al azar] es igual a la clave anterior (en "Run"). Dentro se agregan otras claves con la cantidad de mensajes infectados enviados hasta el momento, etc. (estas claves se van modificando).

El gusano puede finalizar todos los procesos que contengan algunos de estas cadenas en su nombre (corresponden a conocidos antivirus y cortafuegos):

_avp32
_avpcc
_avpm
Ackwin32
Advxdwin
Agentw.Exe
Alertsvc
Alogserv
Amon9x
Anti-Trojan
Ants
Apvxdwin
Atcon
Atupdater
Atwatch
Autodown
Avconsol
Avgcc32
Avgctrl
Avgserv
Avgserv9
Avgw
Avkpop
Avkserv
Avkservice
Avkwctl9
Avp C
Avp32
Avpcc
Avpm
Avpm.Exe
Avsched32
Avsynmgr
Avwinnt
Avxmonitor9x
Avxmonitornt
Avxquar
Avxquar.Exe
Avxw
Blackd
Blackice
C.Exe
Ccapp.Exe
Ccevtmgr
Ccevtmgr.Exe
Ccpxysvc.Exe
Cdp
Cdp.Exe
Cfgwiz
Claw95
Claw95c
Cleaner
Cleaner3
Cmgrdian
Connectionmonitor
Cpd
Cpd At
Cpdclnt
Cpdclnt.Exe
Ctrl
Ctrl.Exe
Defalert
Defscangui
Defwatch
Doors H
Doors.Exe
Dvp95
Dvp95_0
Efpeadm
Efpeadm.Exe
Etrustcipe
Etrustcipe.Exe
Evpn.Exe
Expert
F-Agnt95
Fameh32
Fch32
Fih32
Fnrb32
F-Prot
F-Prot95
Fp-Win
Frw Erv
Fsaa
Fsav32
Fsgk32
Fsgk32.Exe
Fsma32
Fsmb32
F-Stopw
Gbmenu
Gbpoll
Generics
Guard
Iamapp
Iamserv
Iamserv
Iamstats
Icload95
Icloadnt
Icmon
Icsupp95
Icsuppnt
Iface
Iomon98
Isrv95
Itor
Jedi
Ldnetmon
Ldpromenu
Ldscan
Lockdown
Lockdown2000
Luall
Lucomserver
Luspt
Mcagent
Mcmnhdlr
Mctool
Mcupdate
Mcvsrte
Mcvsshld
Mgavrtcl
Mgavrte
Mghtml
Minilog
Monitor
Moolive
Mpfagent.Exe
Mpfservice
Mpftray.Exe
Mwatch
Nav Auto-Protect
Navap
Navapsvc
Navapw32
Navengnavex15
Navlu32
Navw32
Navwnt
Ndd32
Neowatchlog
Netutils
Nisserv
Nisum
Nmain
Normist
Notst Art
Nprotect
Nprotect.Exe
Npssvc
Nsched32
Ntrtscan
Ntvdm
Ntxconfig
Nui An
Nupgrade
Nvc95 T
Nvsvc32
Nwservice
Nwtool16
Padmin
Pavproxy
Pcciomon
Pccntmon
Pccwin97
Pccwin98
Pcscan
Persfw
Perswf
Pop3trap
Poproxy
Portmonitor
Processmonitor
Programauditor
Pview95
P-Win.Exe
R.Exe
Rav7
Rav7win
Realmon
Rescue
Rtvscn95
Rulaunch
Sbserv
Scan32
Scrscan
Smc
Sphinx
Spyxx
Ss3edit
Sweep95
Sweepnet
Sweepsrv.Sys
Swnetsup
Symproxysvc H1
Symtray
Taumon
Tc
Tca
Tcm
Tds-3 Di
Tfak
Vbcmserv
Vbcons
Vet32
Vet95
Vettray
Vir-Help
Vpc32
Vptray
Vsched
Vsecomr
Vshwin32
Vsmain
Vsmon
Vsstat
Watchdog
Webscanx
Webtrap
Wgfe95
Wimmun32
Wradmin
Wradmin.Exe
Wrctrl
Zapro
Zonealarm

Finalmente el gusano puede infectar archivos ejecutables de Windows, agregando su código al principio de los mismos. Los archivos infectados aumentarán su tamaño en unos 48 Kb. aprox.


Reparación manual

Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Repare o borre los archivos detectados como infectados

Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

[nombre al azar]

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\[nombre al azar]

5. Pinche en la carpeta "[nombre al azar]" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS