Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Oror.Q. Se propaga con una gran variedad de nombres
 
VSantivirus No. 931 - Año 7 - Viernes 24 de enero de 2003

W32/Oror.Q. Se propaga con una gran variedad de nombres
http://www.vsantivirus.com/oror-q.htm

Nombre: W32/Oror.Q
Tipo: Gusano de Internet
Alias: Win32.Oror.Q, Win32/Oror.Q.Worm, I-Worm.Roron.50, I-Worm.Roron.4997, W32.HLLW.Oror@mm, W32.HLLW.Oror.B@mm, W32.HLLW.Oror.C@mm
Fecha: 22/ene/03
Tamaño: 82,949 bytes (UPX), 151,552 bytes
Plataforma: Windows 32-bits

Pertenece a una familia de gusanos, todos ellos muy similares (ver: "W32/Oror.B. Borra archivos y antivirus, usa IRC y KaZaa", http://www.vsantivirus.com/oror-b.htm, "W32/Oror. Borra antivirus y cortafuegos", http://www.vsantivirus.com/oror.htm y "W32/Oror-Fam. Una familia de destructivos gusanos", http://www.vsantivirus.com/oror-fam.htm).

Se propaga copiándose a si mismo en las carpetas compartidas de una red local, y enviándose a direcciones recolectadas de mensajes en la bandeja de entrada de clientes de correo que utilicen MAPI, como el Outlook u Outlook Express. El gusano usa su propia máquina SMTP (Simple Mail Transfer Protocol).

El asunto, texto del mensaje y adjunto, varían al azar, y son seleccionados de una gran variedad de posibilidades.

El campo "De:" puede ser generado con la combinación de los siguientes nombres:

alex15
alice
amanda
angel_f
baby_17
badboy
badgirl
blade
blue16
bryan16
candy_f
crazy
CrazyGirl
dave
dreamy
happy
iguana17
jane17
jerry
lady_f
linda17
mellany
mickey
monica
neo
nicole
panda_f
rap_girl
sunny
trish1
tweety
wizzard

Más uno de los siguientes dominios:

@aol.com
@europe.com
@hotmail.com
@mail.com
@usa.net
@yahoo.co.uk
@yahoo.com

Ejemplo:

De: monica@mail.com

El "Asunto:" del mensaje es creado combinando las siguientes listas:

[Variantes 1 o 2]+[Variante 3]

Variante 1:

Bla Bla
Boom
Happy
Hello
HeY
Hey Ya
Hi Again
Hi There
HoWie
Just A Letter
Wow
ZzZz

Variante 2:

Bla Bla
Boom
Ei
Hey
Ohoo
Pisamce
Privet
TinKi WinKy
Zdr Otnovo
Zdrasti
ZzZz

Variante 3:

..
:)
:pP
;)
;))
~pPp

Ejemplo:

Asunto: Just A Letter ;))

El nombre del archivo adjunto es generado combinando un prefijo y un sufijo, seleccionados por pares de la siguiente forma:

[Prefijo 1]+[Sufijo 1]
[Prefijo 2]+[Sufijo 2]
[Prefijo 3]+[Sufijo 3]
[Prefijo 4]+[Sufijo 4]

Prefijo 1:

Actu002_
Angel3D_
BabyBlue
BoxDave_
Chess
Fishfood
Gipsy
Iguana
install_en_
Inter012_
KamaSutra
LaFemmeNikita
mTV_Charts_
Pamela3D_
PcDudes
RedEyez
Story017_

Sufijo 1:

(Eng)
(sHow)
2.3
3D

Prefijo 2:

Angel3D_
BabyBlue
Chess
ClubExtreme
Elfbowl
EminemDesktop
Gipsy
Goggles
install_en_
Inter013_
mTV_Charts_
snowball_fight_
sound_brake_
Story015_
WWF_The_ROCK

Sufijo 2:

(Eng)
(sHow)
(zip)
_v1.1
3.3
3D

Prefijo 3:

Anal Explorer
Britney Suxx
BritneyUltimate
Hot Blondies
KamaSutra
LaFemmeNikita
Lolita
Pam Anderson Theme
Pamela 3D_
PcDudes
SexSpy
Sexy Teens Desktop
Strip Kournikova
Teen Sex Cam
VirtualRape

Sufijo 3:

(Eng)
(Rated)
(sHow)
3.0
3D
v4.5

Prefijo 4:

ACDSee
Counter Strike 1.5 (Editor)_
cRedit_CarDs_gEn
DivX 5.5 Bundle_
DMX tHeMe
Download Accelerator 5.5_
Dreamweaver_MX_Update
EminemDesktop
GTA 3 Bonus Cars(part1)_
KaZaA Media Desktop v2.2_
Madonna Desktop
MeGa HACK
Nero Burning Rom 5.7.0.1_
NFS 5 Bonus Cars_
Serials 2K 7.2 (by SNTeam)_
Serials2002_8.0(17.08.02)_
WinAmp_3.2_Cool_
WinZip 8.2_
Zip Password Recovery

Sufijo 4:

(Cracked)
(Eng)
(zip)
3.0
7.1 FULL
v5.5

Ejemplos de archivos adjuntos:

Actu002_(sHow)
BabyBlue_v1.1
LaFemmeNikita3D
Counter Strike 1.5 (Editor)_7.1 FULL

Por su parte, el texto del mensaje propiamente dicho, se selecciona de las siguientes listas. Partes del mensaje son obtenidas de las combinaciones vistas antes:

-------------------------------------------------------------------------------------------------------

De: [al azar de combinaciones anteriores]
Asunto: Blondinki
Datos adjuntos: Blondes.scr

Texto del mensaje:
Hey :)) Kak q karash? Pomnish li me oshte :))
Nadqvam se che da. Baq vreme ne sme sa chuvali..
Neshto novo ima li? Namerih edna mnoo qka programka
i neznam zashto, no mi napomni za teb :))

Nakvo pravi blondinka kato rodi bliznaci? - Chudi se koi e vtoriq tatko :)
Kakva e razlikata mejdu 10 ovce i 3 blondinki? Otgovor: 7
Kak mojesh da razsmeesh blondinka v petak? - Kato i razkajesh vic vav vtornik :)

Kefqt li ta vicovete? Shegichka de :) Razkazva vicove na 5 minuti :))
Posmqh se za baq vreme napred :pPpP Haide bye za sega, i da pishesh :))

-------------------------------------------------------------------------------------------------------

De: [al azar de combinaciones anteriores]
Asunto: [al azar de combinaciones anteriores]
Datos adjuntos: Blondes.scr

Texto del mensaje:
Hey, what's up :)) Where are you? Don't you chat any more?
I haven't seen you so long. I sent you a surprise, read this :))

- What do blondes wear behind their ears to attract men? Their ankles!!
- Why did god invent the female orgasm? So blondes know when to stop screwing!!
- What is a blond with hair black colored? Artificial intelligence!

Blondes forever!! :) Time off, i must go now, but i'll be very
happy if you write to me soon :) Bye bye :))

-------------------------------------------------------------------------------------------------------

De: greetings@kefche.com
Asunto: Preotkrii sebe si
Datos adjuntos: Faith.scr

Texto del mensaje:
Zdravei, ako si poluchil tova pismo znachi nqkoi priqtel ti go e
pratil. Celta na pismoto e da ti pomogne da razberesh koi si
vsushnost. Originalnata ideq e na Dalai Lama i tova e nein
interaktiven variant. Predi da otvorite test-a si namislete
edno jelanie, otgovorete na 5-te vuprosa i sled kato poluchite
jelanite otgovori shte poluchite edno chislo. Za da vi se izpulni
jelanieto trqbva da pratite tova pismo na tolkova priqteli. Testa
se pravi samo vednuj, poneje sled tova nqma da poluchite obektivna
ocenka.

"Za da navlezem v sveta na drugite,
purvo trqbva da budem nqsno sys sebe si" - Dalai Lama.

P.S. Tozi test e samo za lichna upotreba, i ne biva da bude
izpolzvan za kakvito i da bili komersialni celi.

-------------------------------------------------------------------------------------------------------

De: support@kefche.com
Asunto: Kefche.com
Datos adjuntos: [al azar de combinaciones anteriores]

Texto del mensaje:
Ekiput na Kefche.com ima radostta da pozdravi vsichki
fenove na Kefcheto s 1-ta godishnina ot puskaneto na site-a.

Nie se prevurnahme v nai-dobriq i poseshtavan bg site
za zabavleniq i igri. Ot samoto si nachalo Kefche.com ima
za cel da vi nosi samo i edinstveno smqh i zabava,
nadqvame se che sme postignali celite si :))

Po sluchai godishninata, ekiput ni poe iniciativata da
izprashta vsqka sedmica nai-dobrite flash-cheta i
igrichki na vsichki user-i poseshtavashti Kefche-to.

Nadqvame se da vi haresa i tova da bude samo nachaloto
na edno novo zabavlenie :))

-----------------
Kefche.com Team.

-------------------------------------------------------------------------------------------------------

De: greetings@e-cards.com
Asunto: Explore your soul
Datos adjuntos: Faith.scr

Texto del mensaje:
Hello, if you are reading this letter, it means that a friend
of yours has sent it to you. The idea is to help you realize who
you are indeed. This is an interactive variant, based on the
original tests of Dhalai Lama, a great indian philosopher.
Before you open the test, you should make a wish. Answer to
the 5 questions honestly, after that you will recieve a number.
If you want your wish to come true you must send this letter
to that count of your friends. You can make the test only
once, because after that the results won't be real.

"If you want to enter the other's world,
you should explore your soul first" - Dhalai Lama.

P.S. This test is for personal use only, and should not
be used with commercial purposes.

-------------------------------------------------------------------------------------------------------

De: support@miamigirls.com
Asunto: MiamiGirls.com Free Subscription
Datos adjuntos: FreeTour.scr

Texto del mensaje:
On the occasion of it's 3th anniversary MiamiGirls.com wants
to offer you even more pleasure than before. There are several
new promotions and if you are interested you can watch the free
demo and subsequently contact our web page. If you join now,
the first month of your membership will be free.

Thousands of hot teen pics and videos are available for you.
Image Galleries, Cumshots, LiveCams, Hot Video Chat, Erotic
Stories, XXX Lessons, Kama Sutra, Celebrities.. We provide
the best services for our members.

This site contains adult material that is unsuitable for those
under the age of 18.


------------------------
www.MiamiGirls.com

-------------------------------------------------------------------------------------------------------

De: support@games.yahoo.com
Asunto: Yahoo! Games
Datos adjuntos: Yahoo!Baseball.scr

Texto del mensaje:
Yahoo! Team is proud to present our new surprise
for the clients of Yahoo! and Yahoo! Mail.

We plan to send you the best Yahoo! Games weekly.
This new service is free and it's a gift for the 10th
anniversary of Yahoo!. We hope you would like it.

The whole Yahoo! Team wants to express our gratitude to
you, the people who helped us to improve Yahoo! so much,
that it became the most popular worldwide portal.

Thank You!

We do our best to serve you.


------------------
Yahoo! Team.
www.Yahoo.com

-------------------------------------------------------------------------------------------------------

De: greetings@reply.yahoo.com
Asunto: [nombre] sent you a Yahoo! Greeting
Datos adjuntos: Yahoo!Winter.scr

Texto del mensaje:
Surprise! You've just received a Yahoo! Greeting
from [nombre] ([nombre]@[dirección])!

This is an interactive greeting card
and requires Flash Media Player.

Enjoy!

The Yahoo! Greetings Team.


--------------------------
Yahoo! Greetings is a free service. If you'd like to send someone a
Yahoo! Greeting, you can do so at http://greetings.yahoo.com

-------------------------------------------------------------------------------------------------------

Todos los mensajes están con formato HTML. Algunos contienen el código para aprovecharse de una falla del Outlook Express, conocida como "Incorrect MIME type", que ejecuta al gusano con solo leer el mensaje o verlo en el panel de vista previa.

El gusano crea el mutex "KosmatMutex" como indicador de que está activo en memoria, y luego se registra a si mismo como un servicio. También muestra al final de ese proceso uno de varios mensajes de error falsos, para no despertar sospechas de su actividad.

Versión 1:

[Nombre del adjunto] is not a valid Win32 application.

Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.

Versión 2:

The [Nombre del adjunto] file expects a newer version of Windows. Upgrade your Windows version.

Versión 3:

Cannot open file: it does not appear to be a valid program If you downloaded this file, try downloading file again.

El gusano crea numerosos archivos de configuración en el directorio System de Windows, usando nombres que obtiene combinando varias partes, incluyendo los cuatro primeros caracteres del nombre de la computadora, pero escrito de atrás para adelante.

Por ejemplo, si la computadora se llamara "angela", estos nombres podrían ser: 

Parte 1, cuatro primeros caracteres del nombre de la computadora leídos de atrás hacia adelante. En el ejemplo de "angela" (ange):

egna

Parte 2:

_
16
32
98
a
cfg
Cmd
def
dll
Dx
Lib
Run
sys
Sys
vxd

Parte 3:

.exe

Ejemplos:

egna_.exe
egna16.exe
egnaa.exe
egnaDx.exe
egnaSys.exe
egnavxd.exe

También crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows, donde [camino del gusano] es el camino completo más el nombre tal como fue seleccionado arriba, por ejemplo "C:\Windows\System\egna_.exe":

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadSystemProfile =
"[camino del gusano] powprof.dll, LoadCurrentUserProfile"

Si esta clave es borrada con el gusano activo, también se pueden borrar todos los archivos de todos los discos duros.

También modifica la asociación de archivos ejecutables (la extensión .EXE), de modo que cada vez que un archivo .EXE (la mayoría de programas y utilidades) es ejecutado, primero se ejecuta el gusano y luego el archivo original:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = [camino del gusano] "%1" %*

Notemos que una simple llamada al antivirus o al editor del registro, vuelve a ejecutar al gusano incluso cuando se intenta limpiarlo. Esto hace más peligroso que al intentar borrar los archivos del gusano, éste vuelva a activarse, siendo borrados todos los archivos de la computadora infectada. 

Cuando el gusano se copia por primera vez al sistema, lo hace al azar en cualquiera de los subdirectorios de la carpeta "C:\Archivos de programa", con el nombre de la carpeta elegida.

Por ejemplo, si el directorio en que se copia se llama "C:\Archivos de programa\Accesorios", el gusano se copia allí con el nombre de "Accesorios.exe":

C:\Archivos de programa\Accesorios\Accesorios.exe

El gusano agrega el camino a este ejecutable al registro, bajo un nombre de clave que se forma con el nombre del ejecutable más "Agent", " Loader", o " StartUp". Ejemplos:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AccesoriosAgent = C:\Archivos de programa\Accesorios\Accesorios.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Accesorios StartUp = C:\Archivos de programa\Accesorios\Accesorios.exe

El gusano selecciona un archivo al azar del directorio System y se copia a si mismo con el mismo nombre y ubicación. Por ejemplo, se puede copiar como "Ndswan32.exe" borrando el contenido del anterior:

C:\Windows\System\Ndswan32.exe

Luego agrega al archivo WIN.INI una referencia a dicho archivo (el gusano) en la entrada "run=" de modo que éste se ejecute en cada reinicio del sistema:

[windows]
run=C:\Windows\System\Ndswan32.exe

El gusano se envía masivamente a otros usuarios a través del correo electrónico, a direcciones recolectadas de mensajes recibidos por la víctima actual, utilizando las funciones MAPI.

También puede copiarse a si mismo a otras computadoras con recursos compartidos en red.

Si el cliente de IRC, mIRC, se encuentra instalado, el gusano crea el archivo "notes.ini" en el directorio del programa.

Este script es un troyano de IRC con capacidad de acceso remoto a la computadora infectada, lo que habilita a un intruso tomar el control de ésta.

El gusano también intentará borrar cualquier proceso o archivo cuyo nombre contenga algunas de las siguientes cadenas de caracteres, o combinación de ellas:

antivir
avp
black & ice
conseal
esafe
firewall
f-prot
f-secure
guard
kaspers
lockdown
mcafee
norton & virus
panda
pc & cillin
zone & labs

También intentará cerrar cualquier ventana cuya barra de título contenga uno de los siguientes textos:

alarm
antivir
avp
black
f-prot
guard
iomon
labs
mcafee
nai_vs_stat
navap
panda
scan
secure
shield

El gusano también libera un troyano del tipo robador de contraseñas, en formato DLL, que captura todo lo tecleado y monitorea la actividad del ratón además del teclado:

C:\Windows\Wincache.dll

Wincache.dll está comprimido con la herramienta UPX. También se creará luego el siguiente archivo, que es un TXT que guarda los datos obtenidos por "Wincache.dll":

C:\Windows\System\syslog.dll


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Es importante buscar y borrar la presencia de los archivos mencionados en la descripción anterior.

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el registro

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

  Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = [camino del gusano] "%1" %*

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador ([camino del gusano]) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

(Predeterminado) = "%1" %*

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: 

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre todas las entradas DIFERENTES a la siguiente en "LoadCurrentProfile":

LoadCurrentProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

9. Si no existe, cree una entrada exactamente igual a la anterior.

10. En el mismo panel, busque entradas del tipo:

[nombre]Agent = C:\Archivos de programa\[nombre]\[nombre].exe
[nombre] Loader = C:\Archivos de programa\[nombre]\[nombre].exe
[nombre] StartUp = C:\Archivos de programa\[nombre]\[nombre].exe

Podría existir al menos una entrada, en donde [nombre] corresponde al mismo de alguna carpeta que cuelgue de "C:\Archivos de programa".

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Editar el archivo WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[Windows]
run=[nombre del gusano]

Debe quedar como:

[Windows]
run=

3. Grabe los cambios y salga del bloc de notas.

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS