VSantivirus No. 1042 Año 7, Jueves 15 de mayo de 2003
W32/Nolor.B (Lovelorn.B). Roba contraseñas e infecta
http://www.vsantivirus.com/nolor-b.htm
Nombre: W32/Nolor.B
Tipo: Gusano de Internet
Alias: W32.Nolor.B@mm, W32/Cailont-B, WORM_LOVELORN.B, W32/Lovelorn@MM, I-Worm.Lovelorn.b, Win32.Lovelorn.B worm
Tamaño: 101,888 bytes, 205,439 bytes, 102,400 bytes
Plataforma: Windows 32-bit
Fecha: 14/may/03
Este gusano, escrito en Borland C++, se propaga a todos los contactos extraídos de archivos *.EML, ITEM, BOX, *.DBX y *.HTM, utilizando para ello su propio motor SMTP, por lo que no depende del software de correo electrónico instalado en la computadora infectada.
Esta versión intenta infectar algunos archivos, además de robar contraseñas y nombres de usuarios.
Intenta conectarse a un servidor SMTP de la siguiente lista:
101.mail.scd.yahoo.com
109.mail.scd.yahoo.com
111.mail.scd.yahoo.com
111.mail.scd.yahoo.com
112.mail.scd.yahoo.com
113.mail.scd.yahoo.com
121.mail.scd.yahoo.com
122.mail.scd.yahoo.com
125.mail.scd.yahoo.com
127.mail.scd.yahoo.com
129.mail.scd.yahoo.com
131.mail.scd.yahoo.com
133.mail.scd.yahoo.com
135.mail.scd.yahoo.com
139.mail.scd.yahoo.com
142.mail.scd.yahoo.com
146.mail.scd.yahoo.com
148.mail.scd.yahoo.com
150.mail.scd.yahoo.com
162.mail.scd.yahoo.com
166.mail.scd.yahoo.com
172.mail.scd.yahoo.com
192.mail.scd.yahoo.com
194.mail.scd.yahoo.com
197.mail.scd.yahoo.com
206.mail.scd.yahoo.com
210.mail.scd.yahoo.com
214.mail.scd.yahoo.com
216.mail.scd.yahoo.com
El mensaje tiene como datos adjuntos (101,088 bytes) un archivo con alguno de los siguientes nombres:
[nombre usuario infectado].htm
[nombre usuario infectado].Kiss.ok.exe
love_lorn.htm
love_lorn.Kiss.ok.exe
lovelorn.htm
lovelorn.Kiss.ok.exe
Thuyguyen.htm
Thuyguyen.Kiss.ok.exe
Si se ejecuta la copia con extensión .HTM del gusano, se crea otra copia del gusano con el nombre de TEMP.EXE en el directorio de archivos temporales: C:\Windows\TEMP.
El mensaje puede ser uno cualquiera seleccionado al azar de la siguiente lista:
Asunto: Re:baby!your friend send this file to you !
Texto: Read this file
Asunto: HELP??-
Texto: Help...
Asunto: Re:Get Password mail...
Texto: Enjoy
Asunto: Re:Get Password mail...
Texto: Read File attach .
Asunto: Re:Binladen_Sexy.jpg
Texto: run File Attach to extract:BinladenSexy.jpg...
Asunto: The Sexy story and 4 sexy picture of BINLADEN !
Texto: Enjoy! BINLADEN:SEXY..
Asunto: Re:I Love You...OKE!
Texto: Souvenir for you from file attach...
Asunto: A Greeting-card for you .
Texto: See the Greeting-card .
Asunto: Re:Kiss you..^@^
Texto: Read this file
Asunto: Guide to fuck ...
Texto: I like Sexy with you.
Asunto: Re:Baby! 2000USD,Win this game...
Texto: Play the game from file attach
Asunto: Help
Texto: Help.
Cómo remitente, figura algunas de las siguientes direcciones falsas:
lovelorn@yahoo.com
love_lorn@yahoo.com
thuyquyen@yahoo.com
Si el usuario ejecuta el archivo adjunto, este copia en el sistema los siguientes archivos:
c:\windows\system\Bsbk.dll
c:\windows\system\Netsn.dll
c:\windows\system\Explorer.exe
c:\windows\system\Kernel32.exe
c:\windows\system\Netdll.dll
c:\windows\system\Serscg.dll
c:\windows\system\Setup.htm
Los dos primeros, son copia del gusano en formato base64, tal como se adjunta a los mensajes infectados. Los demás contienen otros componentes, como el archivo TEMP.EXE (liberado por SETUP.HTM), que se encargará de la propagación vía e-mail.
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
El gusano también crea un archivo llamado "11_04_2003.nhq" en el mismo directorio, pero lo borra luego, sin hacer ninguna otra referencia a él en ningún momento.
Cada vez que el usuario abre una ventana cuyo título contenga uno de los siguientes textos, el gusano ejecutará una rutina especial:
Floppy
Open
Save
Cuando ello ocurre, el gusano intentará copiarse en cualquier disquete con permiso de escritura, insertado en la unidad A, con el siguiente nombre:
A:\NQH_Kiss_you.exe
También se copiará en la carpeta de inicio de Windows:
C:\WINDOWS\Menú Inicio\Programas\Inicio\Findfast.exe
NOTA: "C:\Windows\Menú Inicio\Programas\Inicio" en Windows 95, 98 y Me. En Windows XP y 2000 es "C:\Documents and Settings\[usuario]\Menú Inicio\Programas\Inicio" y en Windows NT "C:\WinNT\Profiles\[usuario]\Menú Inicio\Programas\Inicio"
En ambos casos, es el mismo gusano con diferente nombre.
Cuando busca direcciones de correo en los archivos .HTM, también intenta copiarse a si mismo en las carpetas que contengan archivos con dicha extensión, con el mismo nombre del HTM, pero agregando "KISS.ok.exe".
Por ejemplo, si encuentra un archivo "ejemplo.htm", se copia como "ejemplo.KISS.ok.exe" mientras busca direcciones electrónicas en dicho archivo.
El gusano crea la siguiente rama del registro para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
explorer = c:\windows\system\Explorer.exe
También copia en la carpeta TEMP de Windows, un componente VBS (Visual Basic Script), llamado "TEMP.EXE" (a pesar de la extensión es un .VBS), que al ejecutarse, envía el gusano a todos los contactos extraídos de las bases de mensajes del Outlook Express, en un mensaje con las características ya descriptas:
C:\Windows\TEMP\TEMP.EXE
También intenta finalizar cualquier proceso en ejecución, pertenecientes a ciertos antivirus, siempre que contengan estas palabras en su nombre:
Bkav
Nava
Virus
Esta versión intenta infectar los siguientes programas, aumentando su tamaño en 102,400 bytes, y conservando los iconos originales:
Outlook.Exe
Netcaptor.Exe
Mirc32.Exe
Aim.Exe
Ypager.Exe
Iexplore.Exe
Msimn.Exe
Luego, el gusano crea accesos directos a algunos de estos archivos infectados, en la barra de herramientas del Explorador de Windows:
Shortcut To Iexplore.Exe
Shortcut To Msim.Exe
Un error en su código, impide que la rutina de infección se ejecute si está desmarcada la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar, cosa que por otra parte, siempre aconsejamos tener desmarcada (ver "Información adicional", "Mostrar las extensiones verdaderas de los archivos").
El gusano también intenta robar textos de cualquier ventana abierta por el usuario que contenga alguno de estos textos en sus títulos:
Login
Password
Sign In
La intención es obtener las posibles contraseñas ingresadas desde dichas ventanas. Esta información es guardada en un archivo llamado "GH.TXT", también en la carpeta System de Windows:
C:\Windows\System\Gh.txt
Luego envía dicho archivo a la siguiente dirección de correo:
tuiratchancuocdoinay@yahoo_com
El icono del gusano original es similar al de los archivos comprimidos con WinZip.
En el cuerpo del gusano, puede encontrarse este texto:
MISS MY FATHER,MY MOTHER, NQHLLv1.0
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\menú inicio\programas\inicio\findfast.exe
c:\windows\temp\temp.exe
c:\windows\system\bsbk.dll
c:\windows\system\netsn.dll
c:\windows\system\explorer.exe
c:\windows\system\kernel32.exe
c:\windows\system\netdll.dll
c:\windows\system\serscg.dll
c:\windows\system\setup.htm
c:\windows\system\gh.txt
También en todos los disquetes que pudieran estar infectados buscar y borrar lo siguiente:
a:\nqh_kiss_you.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
explorer
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|