VSantivirus No. 1390 Año 8, lunes 26 de abril de 2004
W32/Opasa.A. Se propaga por e-mail y P2P
http://www.vsantivirus.com/opasa-a.htm
Nombre: W32/Opasa.A
Tipo: Gusano de Internet
Alias: W32.Opasa@mm
Fecha: 20/abr/04
Plataforma: Windows 32-bit
Tamaño: varios
Reportado por: Symantec
Gusano que se propaga por correo electrónico a direcciones capturadas en la máquina infectada. Puede finalizar la ejecución de varios programas de seguridad (antivirus, cortafuegos, etc.), además de poder conectarse a varios servidores IRC (Internet Relay Chat), para recibir instrucciones de un usuario remoto.
También se propaga por redes Peer-To-Peer (P2P).
El mensaje enviado por el gusano, puede contener un adjunto con extensión .HTM o .ZIP y numerosos asuntos y textos.
El mensaje tiene estas características:
Asunto: [1]+[2]+[3]+[4]+[5]
Donde los elementos son tomados de las siguientes listas:
[1]:
Re:
Re[2]:
[2]:
important
very important
your
[3]:
account details
bill
details
document
file
info
information
payment details
payment options
request
[4]:
successfully
[5]:
corrected
changed
modified
Ejemplo:
Re[2]: very important document successfully corrected
Texto del mensaje: [1]+[2]+[3]+[4]+[5]+[6]+[7]+[8]+[9]+[10]+[11]+[12]+[13]+[14]+[15]
Donde los elementos son tomados de las siguientes listas:
[1]:
hello there!
hello!
hi there!
hi!
[2]:
this important
very important
[3]:
excel
html
microsoft excel
microsoft word
ms excel
ms word
text
word
[4]:
document
documents
file
files
message
messages
[5]:
cannot be
could not be
couldn't be
[6]:
delivered
interpreted
represented
[7]:
as
[8]:
plain
pure
simple
[9]:
message
text
[10]:
and
and thats why
and that's why
[11]:
i have sent
i've sent
my network administrator has sent
our administrator has sent
we have sent
we've sent
[12]:
it
this document
this file
this message
[13]:
as
[14]:
archived
binary
compressed
[15]:
attachment!
file!
message!
Ejemplo:
hello there!
this important html file could not be interpreted
as pure text and thats why i've sent it as binary
attachment!
Datos adjuntos: [Un archivo .HTML o un archivo .ZIP conteniendo un HTML, todos con nombres al azar]
Cuando se ejecuta, intenta borrar los procesos activos que contengan cualquiera de los siguientes nombres:
_avp
_avp32
_avpcc
_avpm
_findviru
ackwin32
advxdwin
agentsvr
agentw
ahnsd
alerter
alertsvc
alogserv
amon
amon9x
anti-trojan
antivirus
ants
apimonitor
aplica32
apvxdwin
atcon
atguard
atro55en
atupdater
atwatch
aupdate
autodown
autotrace
autoupdate
avconsol
ave32
avgcc32
avgctrl
avgserv
avgserv9
avgw
avkpop
avkserv
avkservice
avkwcl9
avkwctl9
avnt
avp32
avpcc
avpdos32
avpexec
avpinst
avpm
avpmon
avpnt
avptc32
avpupd
avrescue
avsched32
avsynmgr
avwin95
avwinnt
avwupd32
avxmonitor9x
avxmonitornt
avxquar
avxw
azonealarm
bbeagle.exe
bd_professional
bidef
bidserver
bipcp
bipcpevalsetup
bisp
blackd
blackice
bootwarn
borg2
bs120
ccapp
ccevtmgr
ccpxysvc
ccsetmgr
ccshtdwn
cdp
cfgwiz
cfiadmin
cfiaudit
cfind
cfinet
cfinet32
claw95
claw95cf
claw95ct
clean
cleaner
cleaner3
cleanpc
cmgrdian
cmon016
connectionmonitor
cpd
cpdclnt
cpf9x206
cpfnt206
csinject
csinsm32
css1631
ctrl
cwnb181
cwntdwmo
defalert
defscangui
defwatch
deputy
direct.exe
dllhost
doors
dpf
drwatson
drweb32
dv95
dv95_o
dvp95
dvp95_0
ecengine
edi
efinet32
efpeadm
ent
esafe
escanh95
escanhnt
escanv95
fvprotect.exe
gigabit.exe
go54o.exe
gouday.exe
i1ru54n4.exe
iamserv
iamstats
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
icsupp95
icsuppnt
iface
ifw2000
ii5nj4.exe
iomon98
iparmor
iris
irun4.exe
isrv95
jammer
jed
jedi
kavlite40eng
kavpers40eng
kerio-pf-213-en-win
kerio-wrl-421-en-win
kerio-wrp-421-en-win
killprocesssetup161
kpf
kpfw32
ldnetmon
ldpro
ldpromenu
ldscan
localnet
lockdown
lockdown2000
lookout
lsetup
luall
luau
lucomserver
luinit
luspt
mcagent
mcmnhdlr
mcshield
mctool
mcupdate
mcvsrte
mcvsshld
mfw2en
mfweng3.02d30
mgavrtcl
mgavrte
mghtml
mgui
minilog
monitor
monsys32
monsysnt
monwow
moolive
mpfagent
mpfservice
mpftray
mrflux
msblast
msconfig
msinfo32
mspatch
mssmmc32
mu0311ad
mwatch
mxtask
n32scan
n32scanw
nai_vs_stat
nav32_loader
nav80try
navap
navapsvc
navapw32
navauto-protect
navdx
naveng
navengnavex15
navex15
navlu32
navnt
navrunr
navsched
navstub
navw
navw32
navwnt
nc2000
ncinst4
ndd32
neomonitor
neowatchlog
netarmor
netinfo
netmon
netscanpro
netspyhunter-1.2
netstat
netutils
nisserv
nisum
nmain
nod32
normist
norton_internet_secu_3.0_407
notstart
npf40_tw_98_nt_me_2k
npfmessenger
nprotect
npscheck
npssvc
nsched32
nsplugin
ntrtscan
ntvdm
ntxconfig
nui
nupdate
nupgrade
nvapsvc
nvarch16
nvc95
nvlaunch
nvsvc32
nwinst4
nwservice
nwtool16
offguard
ogrc
ostronet
outpost
outpostinstall
outpostproinstall
padmin
panixk
pathping
pavcl
pavproxy
pavsched
pavw
pcc2002s902
pcc2k_76_1436
pccclient
pccguide
pcciomon
pccmain
pccntmon
pccpfw
pccwin97
pccwin98
pcdsetup
pcfwallicon
pcip10117_0
pcscan
pcscanpdsetup
penis32
periscope
persfw
perswf
pf2
pfwadmin
ping
pingscan
platin
pop3trap
poproxy
popscan
portdetective
portmonitor
ppinupdt
pptbc
ppvstop
processmonitor
procexplorerv1.0
programauditor
proport
protectx
pspf
purge
pview
pview95
qconsole
qserver
rapapp
rate.exe
rav
rav7
rav7win
rav8win32eng
realmon
regedit
rescue
rescue32
route
routemon
rrguard
rshell
rtvscn95
rulaunch
safeweb
sbserv
scan32
scan95
scanpm
scrscan
scvhosl
schedapp
serv95
setup_flowprotector_us
setupvameeval
sfc
sgssfw32
sharedaccess
shellspyinstall
shn
smc
smss
sofi
spf
sphinx
spider
spyxx
srate.exe
srwatch
ss3edit
ssate.exe
st2
supftrl
supporter5
sweep
sweep95
sweepnet
sweepsrv.sys
swnetsup
symproxysvc
symtray
sysdoc32
sysedit
syshelp
sysmon.exe
syswrun4x.exe
taskmon
taumon
tauscan
tbscan
tca
tcm
tcpsvs32
tds2
tds2-98
tds2-nt
tds-3
tfak
tfak5
tftpd
tgbob
titanin
titaninxp
tmntsrv
tracerpt
tracert
trjscan
trjsetup
trojantrap3
undoboot
update
vbcmserv
vbcons
vbust
vbwin9x
vbwinntw
vccmserv
vcleaner
vcontrol
vcsetup
vet32
vet95
vet98
vettray
vfsetup
vir-help
virusmdpersonalfirewall
vnlan300
vnpc3000
vpc32
vpc42
vpfw30s
vptray
vscan
vscan40
vscenu6.02d30
vsched
vsecomr
vshwin32
vsisetup
vsmain
vsmon
vsscan40
vsstat
vswin9xe
vswinntse
vswinperse
vvstat
w32dsm89
w9x
watch
watchdog
webscan
webscanx
webtrap
wfindv32
wgfe95
whoswatchingme
wimmun32
wingate
winhlpp32
wink
winmgm32
winppr32
winrecon
winroute
winservices
winsfcm
winsys.exe
winupd.exe
wnt
wradmin
wrctrl
wsbgate
wyvernworksfirewall
xpf202en
zapro
zapsetup3001
zatutor
zatutorzauinst
zauinst
zonalarm
zonalm2601
zonealarm
Se registra a si mismo como un servicio para ejecutarse en todos las sesiones de usuario.
Crea un mutex (indicador o semáforo), para evitar ejecutarse más de una vez en memoria.
Si el gusano no se ejecuta desde la carpeta System o System32 de Windows (generalmente la primera vez que se ejecuta al hacer el usuario doble clic sobre el adjunto, o sobre un archivo descargado de redes P2P), entonces se copia a si mismo en dicha carpeta siempre con un nombre al azar:
c:\windows\system\[nombre al azar].exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
También crea un archivo .HTML o .FOLDER (uno de los dos):
c:\windows\system\[nombre al azar].html
c:\windows\system\[nombre al azar].folder
Agrega las siguientes entradas en el registro para asegurarse su autoejecución en próximos reinicios del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system\[nombre al azar].exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system\[nombre al azar].exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
[nombre al azar] = c:\windows\system\[nombre al azar].exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
[nombre al azar] = c:\windows\system\[nombre al azar].exe
Busca las siguientes carpetas en "C:\ARCHIVOS DE PROGRAMA", pertenecientes a conocidos programas P2P:
\Bearshare\Shared\
\eDonkey2000\Incoming\
\eMule\Incoming\
\Grokster\My Grokster\
\ICQ\Shared Folder\
\Kazaa Lite K++\My Shared Folder\
\Kazaa Lite\My Shared Folder\
\Kazaa\My Shared Folder\
\LimeWire\Shared\
\Morpheus\My Shared Folder\
\Tesla\Files\
\WinMX\Shared\
Luego se copia en cada una de las carpetas encontradas, con los siguientes nombres:
2004 child porn.exe
all windows service packs.exe
aol instant messenger (aim) hacker.exe
aol password cracker.exe
britney naked.exe
britney porn.exe
britney spears mp3.exe
britney spears.exe
email cracker.exe
ftp cracker.exe
hotmail cracker.exe
hotmail hacker.exe
icq cracker.exe
icq hacker.exe
kaspersky anti-hacker 2004.exe
kaspersky antivirus 2004 downloader.exe
keylogger.exe
last exploits.exe
last porn collection.exeall stars porn collection.exe
microsoft office 2004 downloader.exe
microsoft office keygen.exe
microsoft windows keygen.exe
msn password cracker.exe
outlook password cracker.exe
password cracker.exe
serials collection 2004.exe
website hacker.exe
windows 2003 all service packs.exe
windows 2003 full downloader.exe
windows 9x_nt_xp_2k password hacker.exe
windows longhorn downloader.exe
winrar 2004.exe
winrar 3.30.exe
winzip 2004.exe
world trade center photos.exe
world trade center.exe
yahoo cracker.exe
yahoo hacker.exe
zone alarm 2004 firewall.exe
El gusano abre el puerto TCP/6667 y queda a la espera de una dirección URL enviada por un atacante. Cuando la recibe, descarga un archivo con nombre al azar en el raíz de C: y luego lo ejecuta:
c:\[nombre al azar].exe
Inicia un bucle sin fin, en el cuál constantemente finaliza los servicios y procesos relatados antes, y actualiza el registro con los cambios ya vistos. De este modo se hará imposible su limpieza con el gusano en memoria.
Además, intenta conectarse a varios servidores IRC, para recibir instrucciones remotas de un intruso.
Mientras se ejecuta, el gusano se oculta de la lista de procesos en ejecución.
En la carpeta donde se ejecute, el gusano crea el siguiente archivo:
xxxx.txt
Busca todas las libretas de direcciones de Windows (.WAB), para extraer las direcciones a las que se enviará en mensajes como los ya descriptos.
Solo si el programa encuentra el programa WinZip instalado en el sistema, envía el adjunto comprimido (.ZIP). De lo contrario, lo envía sin comprimir (.HTML)
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus.
4. Si posee una red, reitere estos pasos en cada computadora de la misma.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (el nombre puede ser obtenido al utilizar el antivirus antes):
[nombre al azar] = c:\windows\system\[nombre al azar].exe
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (el nombre puede ser obtenido al utilizar el antivirus antes):
[nombre al azar] = c:\windows\system\[nombre al azar].exe
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunOnce
7. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (el nombre puede ser obtenido al utilizar el antivirus antes):
[nombre al azar] = c:\windows\system\[nombre al azar].exe
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunOnceEx
9. Pinche en la carpeta "RunOnceEx" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (el nombre puede ser obtenido al utilizar el antivirus antes):
[nombre al azar] = c:\windows\system\[nombre al azar].exe
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|