VSantivirus No. 1440 Año 8, martes 15 de junio de 2004
W32/Paps.A. Se propaga por correo electrónico
http://www.vsantivirus.com/paps-a.htm
Nombre: W32/Paps.A
Tipo: Gusano de Internet
Alias: Paps, Win32/Paps.A, W32.Paps.A@mm, Worm.Paps.A
Fecha: 14/jun/04
Plataforma: Windows 32-bit
Tamaño: 255 Kb aprox.
Gusano de Internet que se propaga masivamente por correo electrónico, enviándose a todas las direcciones de correo obtenidas en archivos seleccionados del sistema. Utiliza diferentes textos y nombres de archivos adjuntos, que varían de acuerdo a las extensiones de las direcciones a las que se envía.
Si el dominio del destinatario no es ni .DE ni .AT ni .CH, el e-mail será el siguiente:
Asunto: [Alguno de los siguientes]
- a trojan horse is on your PC
- hi, its me
- I hate you
- illegal file sharing
- MailerDaemon: Mail Delivery Failure
- Re: Bad Request
- Re: Mail Authentification
- Re: Message Error
- RE: RE: FWD:
- ups, i've got your mail
- you are an idiot
Texto del mensaje: [Alguno de los siguientes]
- Here, the DigiCam photos. A few are overexposed...
- ESMTP [Secure Mail System #334]:
Secure message is attached.
++++ Attachment: No Virus found ++++
Norton AntiVirus - www.symantec.com
- Please read the attachment to get the message.
++++ Attachment: No Virus found +++
Kaspersky AntiVirus - www.kaspersky.com
- Bad Gateway: The message has been attached.
++++ Attachment: No Virus found ++++
Norton AntiVirus - www.symantec.com
- You are sharing illegal mp3-files.
A legal investigation has been startet.
For details read the attachment.
- hi, I am from austria and you`ll don`t believe me,
but a trojan horse in on your PC.
I've scanned your Computer and discovered that
the trojan horse subseven is running on Port 1234.
I have attached a removal tool for you to this mail :)
- why did you do that? idiot! You stole my money
!!! I`LL REPORT YOU TO THE POLICE!!!! See the attachment!
- i`m very very sorry, but anybody have sent your
mail to my address. The attachment is very surprising :)
- I said, I love you...and you said NOTHING And now...
Go Away From Me ... I hate you!!
You can have your documents back!! I`ve attached them...
- Caution: To all gamers A new worm spread via online
gaming! Install the attached patch as soon as possible!!
- Mail transaction failed. Partial message is available
++++ Attachment: No Virus found ++++
Norton AntiVirus - www.symantec.com
Si el destinatario es .DE, .AT, o .CH el mensaje enviado es el siguiente:
Asunto: [Alguno de los siguientes]:
- Achtung: Neuer Virus!!!
- Anzeige wegen illegalem Mp3-Tausch
- du hast einen Trojaner auf deinem PC
- Du Idiot!!!
- Ich hasse dich!!
- MailerDaemon: Mail Delivery Failure
- Re: Bad Request
- Re: Ihre Informationen
- Re: Message Error
- RE: RE: FWD:
- ups, Ich habe Ihre Mail bekommen
Texto del mensaje: [Uno de los siguientes]
- Hi du! Hab mal schnell ein paar Fotos mit Meikes
Webcam geschossen. Sind echt lustig geworden :)
Hab dir die Fotos angehngt! Wir sehen uns...
- ESMTP [Secure Mail System #334]: Secure message
is attached.
++++ Attachment: No Virus found ++++
Norton AntiVirus - www.symantec.com
- Guten Tag! Die angeforderten Informationen
befinden sich im Anhang. MfG
++++ Attachment: No Virus found +++
Kaspersky AntiVirus - www.kaspersky.com
- Bad Gateway: The message has been attached.
++++ Attachment: No Virus found ++++
Norton AntiVirus - www.symantec.com
- Sie tauschen illegal mp3-files aus! Ein
Gerichtsverfahren gegen Sie wurde eingeleitet.
Nhere Informationen entnehmen Sie bitte dem Anhang.
- Hallo, ich bin aus sterreich. Ich hab gerade mal
kurz deinen Computer gescannt und festgestellt,
das du einen Trojaner drauf hast. Ich konnte
mir deine komplette Festplatte angucken.
Ich hab dir mal nen Removal tool an die Mail angehngt. :)
- Warum machen sie das? Sie Idiot! Sie haben mein
Geld gestolen!!!
ICH WERDE SIE BEI DER POLIZEI ANZEIGEN!!!!
Schauen Sie sich den Anhang an!
- Das muss wohl ein Fehllufer sein. Irgendjemand hat
eine Mail, die fr Sie bestimmt war an meine Mail Adresse
geschickt. Ich leite die Mail einfach mal weiter.
Der Anhang ist sehr interessant :)
- Ich hab dir gesagt, das ich dich liebe...und du??
Du....du hast garnichts gesagt!!!
Verschwinde...du Schuft ... Ich hasse dich!! Du kannst
deine Dateien zurck haben!!! Ich hab sie angehngt...
- Achtung: An alle Online-Spieler!! Ein neuer Wurm
verbreitet sich ber Online-Spiele!!!
Installiert euch den Patch im Anhang so schnell wie
mglich damit ihr das nicht auch kriegt!!
- Mail transaction failed. Partial message is available
++++ Attachment: No Virus found ++++
Norton AntiVirus - www.symantec.com
Datos adjuntos: [en todos los casos, el nombre de los archivos adjuntos será alguno de los
siguientes]
documents.doc.exe
filesharing_details.doc.exe
mailmessage.msg.exe
pics.jpg.exe
removal_tool.exe
report.doc.exe
trojan_removal_tool.exe
Cuando se ejecuta, el gusano crea los siguientes archivos en el sistema infectado:
c:\windows\win32config.exe
c:\windows\win32apps3.txt
c:\windows\kernel32.dll
c:\windows\ntbtlog.txt
\iphist.dat
El archivo IPHIST.DAT se creará en la misma carpeta en la que se ejecute el gusano.
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
Para autoejecutarse en cada reinicio del sistema, crea la siguiente clave en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Win32Config = c:\windows\win32config.exe
Busca direcciones de correo en archivos con las siguientes extensiones, en todas las unidades de disco duro del sistema:
.cgi
.dbx
.doc
.htm
.html
.msg
.nk2
.php
.pst
.rtf
.txt
.wab
.xml
El gusano se envía a todas las direcciones encontradas, con diferentes nombres de archivos adjuntos y textos de mensajes, como se describió arriba.
El gusano descarta direcciones que contengan alguna de las siguientes cadenas, y no se envía a las mismas:
antivir
avp
buse@
ewido
freeav
f-secure
kaspersky
mcafee
microsoft
nai.com
norton
pestpatrol
sophos
symantec
virus
Intenta acceder a los siguientes sitios web:
http:/ /www .eselfilme .com
http:/ /www .google .de
http:/ /www .hausaufgaben .de
http:/ /www .referate .de
http:/ /www .whatismyip .com
La última de las direcciones mencionadas, la utiliza para detectar la dirección IP actual del equipo infectado.
Reparación manual
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\win32config.exe
c:\windows\win32apps3.txt
c:\windows\kernel32.dll
c:\windows\ntbtlog.txt
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
iphist.dat
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:
iphist.dat
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Win32Config
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|