|
VSantivirus No. 1117 Año 7, Martes 29 de julio de 2003
W32/Numan.A. Borra archivos de Windows y antivirus
http://www.vsantivirus.com/numan-a.htm
Nombre: W32/Numan.A
Tipo: Gusano de Internet (P2P)
Alias: Numan, W32/P2P.Numan, W32/Hanuman
Tamaño: 143,360 bytes
Plataforma: Windows 32-bit
Fecha: 28/jul/03
Fuente: Panda
Este gusano, escrito en Microsoft Visual Basic y luego comprimido, se propaga a través del programa de intercambio de archivos entre usuarios KaZaa y de los canales de chat utilizando el mIRC.
Utiliza ejecutables con doble extensión, para engañar al usuario. La segunda extensión es generalmente .SCR, un tipo de archivo ejecutable perteneciente a los protectores de pantalla pero en realidad un .EXE. Esta extensión queda oculta en una instalación por defecto de Windows (ver en las referencias "Mostrar las extensiones verdaderas de los archivos").
Cuando se ejecuta, se copia con el siguiente nombre de archivo en el directorio System ("C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003):
hanuman.txt.scr
También muestra una ventana con el siguiente texto:
Critical Error !!!
This program is corrupt
[ Aceptar ]
Si se ejecuta un día 19 de cualquier mes, procede a borrar todos los archivos del directorio de Windows, que tengan las siguientes extensiones:
.COM
.DLL
.SYS
Esto deja inoperativo a Windows y generalmente ya no se podrá reiniciar el sistema sin reinstalar o restaurar los archivos desde un respaldo externo.
También busca y elimina los siguientes archivos, pertenecientes a configuraciones y bases de datos de conocidos antivirus:
c:\antivi~1\*.avc
c:\antivi~1\*.key
c:\archiv~1\antivi~1\*.avc
c:\archiv~1\antivi~1\*.key
c:\archiv~1\networ~1\mcafee~1\*.dat
c:\arxiu~1\antivi~1\*.avc
c:\arxiu~1\antivi~1\*.key
c:\arxius~1\networ~1\mcafee~1\*.dat
c:\networ~1\mcafee~1\*.dat
c:\pavpw9x\*.sig
c:\progra~1\antivi~1\*.avc
c:\progra~1\antivi~1\*.key
c:\progra~1\networ~1\mcafee~1\*.dat
c:\scan\*.dat
Cuando esta acción destructiva ocurre, se muestra al mismo tiempo el siguiente mensaje:
Acabo de activarme y ahora lo vais a lamentar.
Soy poderoso y destructivo, nada podeis hacer
contra mi. Yo soy el fin como es tu fin. Yo te
destruyo con mi aterrador poder y tu no puedes
hacer nada mas que ser destruido con dignidad.
Yo te controlo, tu obedeces, tan solo es la
rutina diaria.
Para propagarse a través de la red KaZaa, el gusano modifica el registro para que el directorio compartido con otros usuarios sea el de Windows:
HKLM\Software\Kazaa\Transfer
DlDir0 = C:\WINDOWS\
Luego, crea en ese directorio múltiples copias de si mismo con los siguientes nombres:
adivinar_futuro.doc.scr
agenda_deportiva.doc.scr
alyssa_milano.jpg.scr
americanpie.jpg.scr
ana_kournikova.jpg.scr
aniversarios.doc.scr
antihackers.zip.scr
apariciones_marianas.jpg.scr
avp_key.key.scr
ayuda.hlp.scr
ayuda_internet.hlp.scr
barcelona.doc.scr
biblia.txt.scr
bigbrother.avi.scr
binladen.zip.scr
britney_spears.jpg.scr
bruce_willis.jpg.scr
charmed.doc.scr
chicas_besandose.jpg.scr
chicas_masturbandose.jpg.scr
chinas_xxx.jpg.scr
chinchan.zip.scr
christina_aguilera.jpg.scr
chuletas_examenes.doc.scr
cindy_crawford.jpg.scr
claudia_schiffer.jpg.scr
cocina.doc.scr
coito_multiple.jpg.scr
conjuros.doc.scr
coran.zip.scr
corridas.jpg.scr
criminologia.doc.scr
cristianismo.zip.scr
cruzroja2003.doc.scr
curso_ajedrez.doc.scr
denise_richards.jpg.scr
desnudame_toda.jpg.scr
detective_conan.zip.scr
deu.zip.scr
dios.zip.scr
dios_habla.mp3.scr
doomtrooper.doc.scr
doraemon.doc.scr
dragonball.zip.scr
elgrantest.exe.scr
embrujadas.doc.scr
estadisticas.xls.scr
eta_informacion.doc.scr
evangelios.doc.scr
expedientex_xxx.jpg.scr
explorer_update.exe.scr
fe.doc.scr
felacion.jpg.scr
fifa_2003-2004.doc.scr
filosofia.doc.scr
firewall.zip.scr
follame.jpg.scr
fotos_eroticas_xxx.jpg.scr
free_girls.doc.scr
full_films.exe.scr
galicia_enpeligro.doc.scr
ganar_loterias.txt.scr
god.zip.scr
granhermano.avi.scr
guapetona.jpg.scr
hanuman.doc.scr
hardsex.zip.scr
harrison_ford.jpg.scr
harrypotter.jpg.scr
hechizos.doc.scr
hillary_clinton.jpg.scr
html_desdeelprincipio.zip.scr
icq_protect.zip.scr
indiana_jones.jpg.scr
indias_follando.jpg.scr
interracial.jpg.scr
inventar.doc.scr
jahve.zip.scr
james_bond.jpg.scr
japonesas_mamando.jpg.scr
java_paratontos.zip.scr
jehova.zip.scr
jenifer_lopez.jpg.scr
jesucristo.zip.scr
kazaa_update.exe.scr
l5r.txt.scr
lavozdelcreador.mp3.scr
lesbian.bmp.scr
lesbianas.jpg.scr
lord_of_the_rings.zip.scr
ludopatia.txt.scr
madona.jpg.scr
madonna.jpg.scr
maduras_guarras.jpg.scr
magianegra.doc.scr
magictg.doc.scr
mahoma.doc.scr
maltratos_no.hlp.scr
mamadas_increibles.jpg.scr
mandamientos.doc.scr
matar_gratis.doc.scr
mayordomos_enlared.web.scr
mcgiver.jpg.scr
medicina_tradicional.doc.scr
medicos_sin_fronteras.doc.scr
metemela.jpg.scr
meuca.jpg.scr
mirc_update.doc.scr
miss_mundo.jpg.scr
miss_world.jpg.scr
monica_lewinsky.jpg.scr
monica_seles.jpg.scr
morenas_ardientes.jpg.scr
mormones.doc.scr
msdos_utils.exe.scr
msn_messenger_upgrade.exe.scr
muerte.doc.scr
mujer_maltratada.bmp.scr
mulatas_xxx.jpg.scr
musica_celestial.mp3.scr
naomi_campbell.jpg.scr
natalie_imbruglia.jpg.scr
nba_2003-2004.doc.scr
nenas_follando.bmp.scr
nicole_kidman.jpg.scr
nostradamus.jpg.scr
objetivo_x.zip.scr
officexp_update.exe.scr
once.doc.scr
osama_bin_laden.zip.scr
otra_dimension.doc.scr
ouija_relatos.doc.scr
outlook_plugins.zip.scr
pascal_facil.zip.scr
patch.zip.scr
patricia_manterola.jpg.scr
paulina_rubio.jpg.scr
pelirrojas_lascivas.jpg.scr
penelope_cruz.jpg.scr
penetrame.jpg.scr
pierce_brosnan.jpg.scr
poder_intuitivo.doc.scr
poder_mental.zip.scr
poltergeist.jpg.scr
porn_porn.jpg.scr
pornografia_dura.jpg.scr
prestige2002.hlp.scr
profecias.doc.scr
prostitutas.jpg.scr
psicofonia.mp3.scr
putas.jpg.scr
quake3_plugins.exe.scr
ra.txt.scr
realmadrid.doc.scr
religio.zip.scr
religion.doc.scr
richard_gere.jpg.scr
robocop_xxx.bmp.scr
rubias_cachondas.jpg.scr
sailormoon.zip.scr
secta_moon.doc.scr
sexo_anal.jpg.scr
sexoduro.bmp.scr
sexygirls.jpg.scr
shinchan.zip.scr
sorteo_loterias.txt.scr
sorteo_navidad.doc.scr
superchess.zip.scr
supervivientes.avi.scr
tarot.zip.scr
terminator_iii.jpg.scr
test_inteligencia.zip.scr
the_simpsons.zip.scr
tia_buena.jpg.scr
tom_cruise.jpg.scr
tora.mp3.scr
torrente.txt.scr
trucos_belleza.doc.scr
trucos_juegos.doc.scr
universal_crack.exe.scr
videos_xxx.avi.scr
virgen.jpg.scr
visualbasic.zip.scr
visualc.zip.scr
vivir_mejor.doc.scr
voluntario.doc.scr
winamp_patch.exe.scr
windows3x_utils.exe.scr
windows9x_utils.exe.scr
windowsmillennium_utils.exe.scr
windowsnt_utils.exe.scr
windowsxp_utils.exe.scr
winmx_update.exe.scr
xfiles.doc.scr
xxx_xxx_xxx.jpg.scr
yuyuhakusho.zip.scr
zipizape.jpg.scr
Todos los usuarios de KaZaa están en riesgo de infección si descargan y ejecutan cualquiera de estos archivos. Note que en algunos casos, para poder ver que en realidad se tratan de archivos ejecutables, se debe tener habilitada la opción "Mostrar las extensiones verdaderas de los archivos" (ver Referencias al final).
Para propagarse a través del mIRC, modifica el archivo SCRIPT.INI de dicho programa, a los efectos de poder enviar el archivo HANUMAN.TXT.SCR a todas las personas conectadas a cada canal de chat visitado.
También crea las siguientes entradas en el registro de Windows para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Hanuman = c:\windows\system\hanuman.txt.scr
Reparación manual
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior, aunque seguramente, si la rutina destructiva se llegó a ejecutar, la única solución efectiva sea reinstalar todos los programas y aplicaciones, incluido Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system\hanuman.txt.scr
Borre también las copias del gusano creadas en C:\WINDOWS si existen (ver lista en la descripción).
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Hanuman
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Software
\Kazaa
\Transfer
5. Pinche en la carpeta "Transfer" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada si aparece:
DlDir0 = C:\WINDOWS\
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|