|
VSantivirus No. 950 - Año 7 - Miércoles 12 de febrero de 2003
W32/Oror.D. Se propaga vía redes P2P, IRC, email
http://www.vsantivirus.com/oror-d.htm
Nombre: W32/Oror.D
Tipo: Gusano de Internet
Alias y variantes:
I-Worm.Roron.4999.c
Oror
Roro
Roron
W32.HLLW.Oror.D@mm
W32/Roro.V@mm
W32/Roron.AA@mm
Tamaño: 71,680 bytes (UPX)
Plataforma: Windows 32-bits
Fecha: 11/feb/03
Se propaga de numerosas formas, incluyendo el envío a través del correo electrónico, copiándose a través de recursos compartidos en redes, o a través del intercambio de archivos entre usuarios con KaZaa, y también del IRC (mIRC).
Es un archivo en formato PE EXE, escrito en Microsoft Visual C++, que cuando se ejecuta por primera vez, muestra un mensaje de error falso, relacionado con la utilidad WinZip:
WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed,
or the license information is missing or corrupted.
Please contact the program vendor or the web site
(www.WinZip.com)for additional information
[ OK ]
Algunos nombres de archivos que el gusano crea en las computadoras afectadas:
C:\Windows\System\rundll16.exe
C:\Windows\winfile.dll
El gusano crea también dos archivos de datos en la carpeta de Windows (C:\Windows por ejemplo), conteniendo información usada por el propio gusano durante su ejecución. Estos archivos suelen tener como nombre, todo o parte del nombre de la propia computadora infectada al derecho y al revés, además de algunos pocos caracteres más, y una de las siguientes opciones como parte final del nombre: 16.*, 32.* o 98.*.
Las extensiones de estos archivos puede ser cualquiera, como: .DEF, .VXD, .SYS, EXE.
Por ejemplo, si la computadora se llamara "angela", estos nombres podrían ser:
dosangela32.def
niwalegna98.sys
Si estos archivos son borrados mientras el gusano está activo en memoria, el mismo inmediatamente comenzará a borrar todos los archivos de la computadora infectada.
También lo puede hacer si la fecha actual es 9 o 19 de cada mes.
También modifica el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadSystemProfile =
"[camino del gusano] powprof.dll, LoadCurrentUserProfile"
Si esta clave es borrada con el gusano activo, también se pueden borrar todos los archivos de todos los discos duros.
También modifica la asociación de archivos ejecutables (la extensión .EXE), de modo que cada vez que un archivo .EXE (la mayoría de programas y utilidades) es ejecutado, primero se ejecuta el gusano y luego el archivo original:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = [camino del gusano] "%1" %*
Notemos que una simple llamada al antivirus o al editor del registro, vuelva a ejecutar al gusano incluso cuando se intenta limpiarlo. Esto hace más peligroso que al intentar borrar los archivos del gusano, éste vuelva a activarse, siendo borrados todos los archivos de la computadora infectada.
El gusano también se copia en el directorio "\Windows\System" y agrega una entrada a la sección "run" del archivo WIN.INI en "C:\Windows", de modo de ejecutarse también al reiniciarse Windows.
Se propaga a las unidades locales de disco, copiándose en numerosos directorios con nombres al azar. Durante este proceso, el gusano puede llegar a crear entradas adicionales en la rama "HKLM \Software \Microsoft \Windows \CurrentVersion \Run" del registro, de modo que todas ellas se ejecutarán al reiniciarse la computadora.
El gusano crea un "mutex" (especie de semáforo indicador) llamado "RoRo", para evitar ejecutar múltiples copias del mismo en memoria.
También se propaga en redes locales, copiándose a si mismo en todas las unidades de discos compartidas, con nombres que simulan ser conocidos programas o utilidades, como por ejemplo:
Counter Strike 1.5 (Editor).exe
cRedit CarDs gEn v1.2.exe
DivX 5.4 Bundle.exe
DMX tHeMe (full).exe
Download Accelerator 5.5.exe
Dreamweaver_5.0_Patch.exe
Eminem Desktop.exe
GTA 3 Bonus Cars(part1).exe
GTA 3 Bonus Cars.exe
KaZaA Media Desktop v1.8.3.exe
KaZaA Media Desktop v2.0.8.exe
Madonna - My Life (Review).exe
Nero Burning Rom 5.6.0.3.exe
NFS 5 Bonus Cars.exe
Serials 2002 Update.exe
Serials 2K 7.2 (by SNTeam).exe
Serials2002_8.0(17.08.02).exe
Star Craft 2 Trailer.exe
Win XP key gen 2.1B.exe
WinAmp_3.2_Cool.exe
WinZip 8.2 (Cracked).exe
WinZip 8.2.exe
WWF!!_The_ROCK(sHOw).exe
Zip Password Recovery v4.5.exe
Puede construir muchos otros nombres, utilizando cadenas como las siguientes como parte del nombre (esta lista se encuentra en el código del gusano):
ACDSee
cRedit_CarDs_gEn
DMX tHeMe
EminemDesktop
Madonna Desktop
MeGa HACK
Zip Password Recovery
Durante este proceso, el gusano crea archivos AUTORUN.INF con la etiqueta "OPEN=" haciendo referencia a los ejecutables del propio gusano, creados en toda la red y discos duros.
También libera un troyano de IRC con capacidad de acceso remoto a la computadora infectada, lo que habilita a un intruso tomar el control de ésta.
El troyano es un script copiado en la carpeta del mIRC, que puede tener nombres como los siguientes:
alias.ini
server.ini
notes.ini
popup.ini
El gusano también se propaga a través del correo electrónico. El contenido del mensaje es obtenido al azar también de una lista interna.
El asunto del mensaje puede tener alguno de los siguientes textos:
Blondes Forever
Blondinkii
Microsoft Bulgaria
sent you a Yahoo! Greeting
Vajno
Virus Alert
WinAmp Team
Yahoo! Games
Yahoo! Toolbar
El texto del propio mensaje, depende del formato seleccionado. Existen numerosos textos en búlgaro e inglés como por ejemplo:
-----------------------------------------------------------
Remitente: support@winamp.com
Asunto: WinAmp Team Presents_
Datos adjuntos: RedEyez2_skin.exe
Texto del mensaje:
Hello, WinAmp User. WinAmp Team is proud to present our new service for users of WinAmp. WinAmp 3.0 Final has been just released and we believe that it will be the player you've ever dreamed about. We plan to start a new tradition, sending the best skin or
add-on to our users every week. This new service is free and we hope that you would like it. Everyone can offer us suggestions. We do our best to serve you.
----------------
WinAmp Team.
www.WinAmp.com
-----------------------------------------------------------
Asunto: Priqteli
Datos adjuntos: Friends.exe
Texto del mensaje:
3. Zdravei, ako si poluchil tova pismo znachi nqkoi priqtel ti go e pratil. Celta na pismoto e da ti pomogne da razberesh koi si vsushnost. Originalnata ideq e na Dalai Lama i tova e nein interaktiven variant. Predi da otvorite test-a si namislete edno jelanie, otgovorete na 5-te vuprosa i sled kato poluchite jelanite otgovori shte poluchite edno chislo. Za da vi se izpulni jelanieto trqbva da pratite tova pismo na tolkova priqteli. Testa se pravi samo vednuj, poneje sled tova nqma da poluchite obektivna ocenka. "Za da navlezem v sveta na drugite, purvo trqbva da budem nqsno sys sebe si" - Dalai Lama. P.S. Tozi test e samo za lichna upotreba, i ne biva da bude izpolzvan za kakvito i da bili komersialni celi.
-----------------------------------------------------------
Remitente: support@microsoft.com
Asunto: Microsoft Bulgaria_
Datos adjuntos: IE_0273_bg.exe
Texto del mensaje:
Blagodarenie ndulgogodishnite tradicii na Microsoft v Bulgaria i dobrata i suvestna rabota na vsichki neini podchineni, mojem
nai-nakraq da pozdravim bulgarskiq potrebitel s prevod na Internet Explorer na bulgarski. Tova e edno uspeshno produljenie na iniciativata za prevejdane na Ms Office 2000 na rodniq ni ezik. Update-a e bezplaten i e podaruk po sluchai 10 godishninata na Microsoft v Bulgaria. Nadqvame se bulgarskite potrebiteli da ostanat dovolni, koeto shte bude nai-golemiq podaruk za nas.
---------------------
Microsoft, Bulgaria.
-----------------------------------------------------------
Remitente: alert@computel.bg
Asunto: Vajno_
Datos adjuntos: IE55_032.exe
Texto del mensaje:
Panda Antivirus preduprejdava za nalichieto na nov virus v internet, narechen W32.Roro@mm. Razprostranqva se predimno po IRC i chrez zarazeni internet stranici. Sled zarazqvaneto toi iztriva muzikalni failove, filmi i dokumenti. Poradi golemiq broi zarazeni bulgari prez poslednite
nqkolko dena, Panda Antivirus zapochna razprostranenieto na patch, koito opravq bug v Internet Explorer 5.5 i minali versii, pozvolqvasht na stranici sas zlovredno sudurjanie da izpulnqvat komandi vurhu posetitelite. Druga nasha preporuka e ako ste veche zarazeni da ne opitvate da iztriete virusa sobstvenoruchno, a samo s antivirusna programa, poneje pri neuspeshen opit za premahvane W32.Roro iztriva razlichni vidove failove na operacionnata
sistema.
------------------
Panda Antivirus, Bulgaria.
www.Computel.bg
o
Texto del mensaje:
Hi again ;)) Where are you? Don't you chat any more? I haven't seen you so long :)) Well, I've got a lot to tell you about. The Summer vacation was too good to be true. Beach, disco's, friends.. Unfortunately, it's Winter now and the temperatures here are very low. I was ill almost 2 weeks. Quite unpleasant :(( I sent you a surprise :)) Vote for Pink and Robbie Williams, they're great ;) Finally, how are you? Write to me :)) Byeee.. :pP
-----------------------------------------------------------
Remitente: greetings@e-cards.com
Asunto: Reveal who you are
Datos adjuntos: Friends.exe
Texto del mensaje:
Hello, if you are reading this letter, it means that a friend of yours has sent it to you. The idea is to help you realize who you are indeed. This is an interactive variant, based on the original tests of Dhalai Lama, a great indian philosopher. Before you open the test, you should make a wish. Answer to the 5 questions honestly, after that you will recieve a number. If you want your wish to come true you must send this letter to that count of your friends. You can make the test only once, because after that the results won't be fair.
"If you want to enter the other's world, you should explore your soul first" - Dhalai Lama.
P.S. This test is for personal use only, and should not be used with commercial purposes.
o
Texto del mensaje:
Hi again :)) Where are you? Don't you chat any more? I haven't seen you so long.. Well, I've got a lot to tell you about. The Winter vacation was too good to be true. Disco's, friends, fun.. Unfortunately, the temperatures here are very low now and I was ill almost 2 weeks. Quite unpleasant :(( Let's talk about you :)
Are you oK? Are you in love :)) I sent you a surprise :)) It's nice. I'm a little bit bored of these stupid computers, but I'm waiting
for the reply :)) Bye..
-----------------------------------------------------------
Remitente: support@winamp.com
Asunto: WinAmp Team Presents_
Datos adjuntos: Iguana2_skin.exe
Texto del mensaje:
Hello, WinAmp User. WinAmp Team is proud to present our new service for users of WinAmp. WinAmp 3.0 Final has been just released and we believe that it will be the player you've ever dreamed about. We plan to start a new tradition, sending the best skin or add-on to our users every week. This new service is free and we hope that you would like it. Everyone can offer us suggestions. We do our best to serve you.
----------------
WinAmp Team.
www.WinAmp.com
-----------------------------------------------------------
Remitente: support@mcafee.com
Asunto: McAfee Antivirus Monthly Report_
Datos adjuntos: IE_0276_Setup.exe
Texto del mensaje:
McAfee Antivirus warns about several new viruses exploiting Microsoft Internet Explorer. They register themselves as ActiveX controls and subsequently grant access to the local resources of the visitors. This type of internet viruses is very dangerous, because they delete various files of the operating system.
Due to the significant increase of viruses exploiting this vulnerability, McAfee Antivirus supports clients of Microsoft Windows with patch, which
fixes this bug in Internet Explorer 5.5 and minor versions. Customers who have applied this patch are already protected against the vulnerability
and do not need to take additional action.
-----------------
McAfee Antivirus
www.McAfee.com
-----------------------------------------------------------
Remitente: support@yahoo.com
Asunto: Yahoo! Toolbar_
Datos adjuntos: Yahoo!Toolbar.exe
Texto del mensaje:
Yahoo! Team is proud to present its new service for clients of Yahoo! and Yahoo! Mail. Yahoo! Toolbar is an innovative technology, which helps you access Yahoo! Services easier than ever before. It's free and is a gift for the 10th anniversary of Yahoo!. We hope you would like it. The whole Yahoo! Team wants to express its gratitude to you, the people who helped us to improve Yahoo! so much, that it became the most popular worldwide portal.
Thank You!
We do our best to serve you.
---------------
Yahoo! Team.
www.Yahoo.com
-----------------------------------------------------------
El adjunto (el propio gusano), puede tener uno de estos nombres:
[TNT]GeN.exe
Blondes.exe
Blondies.exe
DMX tHeMe (full).exe
Eminem Desktop.exe
IE_0274_bg.exe
IE_0276_Setup.exe
IE50_032_Setup.exe
Iguana1.0_skin.exe
Love Zodiak.exe
mTV Charts.exe
Setup.exe
Sound Factory SFX.exe
Star Craft 2 Trailer.exe
Worm Guard.exe
WWF_The_ROCK(sHOw).exe
Yahoo!Autumn.exe
Yahoo!Chess.exe
Yahoo!Tomcats.exe
Yahoo!Toolbar.exe
El mensaje se aprovecha de una conocida vulnerabilidad del Outlook y Outlook Express, de modo que el gusano puede ejecutarse con solo leer el mensaje, o visualizarlo en el panel de vista previa.
El gusano cierra todas las ventanas que sean abiertas cuyo título contenga algunas de las siguientes cadenas:
black
panda
shield
scan
mcafee
labs
zone
alarm
agent
avp
msie
navap
mstask
webcheck
iomon
nai_vs_stat
Además, el gusano puede buscar todas las carpetas y subcarpetas cuyo nombre posea parte de las siguientes cadenas, borrándolas en caso de encontrarlas:
labs and zone
kaspers
mcafee
panda
avp
pc
cillin
black and ice
norton and virus
Deshabilitar las carpetas compartidas
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Reparación manual
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Editar el registro
Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) = [camino del gusano] "%1" %*
6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador ([camino del gusano]) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):
(Predeterminado) = "%1" %*
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre todas las entradas DIFERENTES a la siguiente en "LoadCurrentProfile":
LoadCurrentProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
9. Si no existe, cree una entrada exactamente igual a la anterior.
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
run=[nombre del gusano]
Debe quedar como:
[Windows]
run=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|