VSantivirus No. 1065 Año 7, Sábado 7 de junio de 2003
W32/Nool.A. Gusano y caballo de Troya de acceso remoto
http://www.vsantivirus.com/nool-a.htm
Nombre: W32/Nool.A
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: W32.HLLW.Nool@m
Fecha: 5/jun/03
Tamaño: 83,968 bytes
Plataforma: Windows 32-bit
Este gusano, programado en Borland Delphi, se propaga a través del correo electrónico, replicando el primer mensaje que encuentre en el Outlook. El mensaje enviado posee asunto y nombre del archivo adjunto variable.
El adjunto se vale de la doble extensión (la segunda extensión queda oculta en una instalación por defecto de Windows, ver en las referencias "Mostrar las extensiones verdaderas de los archivos"). La primera extensión puede ser cualquiera, y la segunda es seleccionada de estas opciones:
.com
.exe
.pif
.scr
El gusano posee capacidad de troyano de acceso remoto, comprometiendo la seguridad y privacidad del usuario infectado. Este troyano se conecta por el puerto TCP/6667 a un canal específico de IRC.
Cuando el adjunto se ejecuta, el gusano se copia a si mismo a la carpeta System ("C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003), con los siguientes nombres:
10star.jpg .scr
beach.jpg.pif
beachpic.jpg.pif
blonie.jpg .scr
closeup pussyshot.bmp.pif
girl_69.jpg .exe
hanna.gif.pif
hannah_82.jpg.pif
i like em.bmp.pif
itsme.jpg .com
kitty.jpg .pif
look at me.gif.pif
me and coca cola.jpg .exe
me topless.gif.pif
me!!.bmp.pif
me.jpg.pif
me.zip.pif
me_pif.jpg .pif
nude.jpg .scr
nude_me.jpg .exe
ollon.gif .pif
Ollon.pif
sandra_85.jpg.pif
Sexy.jpg .com
sexyme.jpg .pif
star69.jpg.pif
this is me.jpg.pif
this is me.pif
topless.jpg .exe
topless.jpg.exe
También modifica la entrada [boot] del archivo SYSTEM.INI para ejecutarse en cada reinicio:
[boot]
shell=Explorer.exe ollon.pif
Busca direcciones de correo electrónico en archivos con las siguientes extensiones en la unidad C:
.ace
.avi
.c
.cpp
.dbx
.dcu
.eml
.frm
.htm
.html
.mp3
.mpeg
.mpg
.pas
.rar
.txt
.vbp
.vbs
.wab
.wav
.zip
Las direcciones encontradas son copiadas en el siguiente archivo:
c:\test.ollon
También crea el siguiente archivo:
c:\Worm.ollon
Este es un archivo de texto con el siguiente contenido:
This is just a beta. This will strike back.
Luego se replica al primer mensaje que encuentre en las carpetas del Microsoft Outlook, con un adjunto infectado.
Los mensajes enviados tendrán por lo tanto las siguientes características:
Datos adjuntos (una copia del gusano con alguno de los siguientes nombres):
kitty.jpg .pif
me and coca cola.jpg .exe
nude_me.jpg .exe
nude.jpg .scr
sexyme.jpg .pif
topless.jpg .exe
itsme.jpg .com
blonie.jpg .scr
me_pif.jpg .pif
girl_69.jpg .exe
Sexy.jpg .com
10star.jpg .scr
ollon.gif .pif
this is me.pif
me.jpg.pif
me.zip.pif
topless.jpg.exe
star69.jpg.pif
sandra_85.jpg.pif
beachpic.jpg.pif
me topless.gif.pif
closeup pussyshot.bmp.pif
this is me.jpg.pif
look at me.gif.pif
me!!.bmp.pif
hannah_82.jpg.pif
hanna.gif.pif
i like em.bmp.pif
beach.jpg.pif
Asunto y texto del mensaje (uno de los siguientes):
Asunto: Bored!!
Texto del mensaje:
so i took a pic just for you
Asunto: Hi
Texto del mensaje:
I meant to send you this
Asunto: Hey
Texto del mensaje:
look at this picture i took
Asunto: Hello
Texto del mensaje:
im not sure if i have the correct address,
please delete my picutre if its not meant for you
Asunto: re: me
Texto del mensaje:
this is me
Asunto: have you seen this person?
Texto del mensaje:
its me :D
Asunto: re: sending pictures
Texto del mensaje:
I worked out how to do it!
Asunto: dont give this picture to anyone else!!!!
Texto del mensaje:
i took it just for you
Asunto: you dont know me but..
Texto del mensaje:
this is me. do you want to meet up?
Asunto: Look at me
Texto del mensaje:
I got your address from a friend who said to
contact you. Reply if you want to meet up :D
Asunto: pics of me
Texto del mensaje:
look at the pic i added, mail back if want more.
Asunto: vacetion pics :)
Texto del mensaje:
hot, beach, bear, bikini, topless.
do i have to say more? ;)
Asunto: hey, want to se this?
Texto del mensaje:
do you really want to se me? im ugly
Asunto: here is the pic i promised to send
Texto del mensaje:
i promised to send this a while ago, now i do it :)
enjoy
Asunto: pic i promised
Texto del mensaje:
here is the pic ive promised for a while
Asunto: do you got balls enought to handle this
Texto del mensaje:
can you handle this pussy?
Asunto: can you handle me?
Texto del mensaje:
can you handle that boobs?
Asunto: aint i sexy?
Texto del mensaje:
my ex said i was ugly and he only used me for sex..
is that ture?
Asunto: do i look good?
Texto del mensaje:
My friends say im a 5 of 10. what do you think?
Luego se conecta a un canal especificado en su código, a un canal de IRC, quedando a la espera de comandos enviados por un usuario remoto.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Para la limpieza de este gusano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano.
Editar el archivo SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell=Explorer.exe ollon.pif
y déjelo así:
[boot]
shell=Explorer.exe
3. Grabe los cambios y salga del bloc de notas
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|