Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat


VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.

W32/Runnelot.A. Borra archivos personales
 
VSantivirus No. 928 - Año 7 - Martes 21 de enero de 2003

W32/Runnelot.A. Borra archivos personales
http://www.vsantivirus.com/runnelot-a.htm

Nombre: W32/Runnelot.A
Tipo: Gusano de Internet
Alias: I-Worm.Runnelot, Runnelot, I-worm.runnelot@mm, Win32.runnelot@MM
Fecha: 20/ene/03
Tamaño: 9Kb (UPX), 20 Kb

Este gusano, un archivo EXE en formato Windows PE (Portable Executable) escrito en Assembler, se propaga a través del correo electrónico, como adjunto. Es capaz de infectar archivos .EXE de Win32.

Los mensajes infectados son construidos con diferentes asuntos, textos, etc.

En el campo "De:" se crea una dirección con alguno de los siguientes nombres:

Bill
Brad
Brown
Danilov
Dean
Dmitry
Driver
Eugene
Forge
Frank
Gregor
Igor
Jhon
Kaspersky
Losinsky
Mark
McAndrew
Mostovoy
Robert
Sam
Samuel
Seldon
Smith
Stab
Steel
Tim
Tom
Woodruf

Seguido de uno de los siguientes dominios:

@hotmail.com
@newmail.ru
@yahoo.com
@yandex.ru

Por ejemplo:

De: Bill@hotmail.com

El asunto lo arma combinando dos de las siguientes listas:

Parte 1:

  • Blacks on Blondes
  • Fucking Wifes
  • New porno movies every day
  • TONS of porno movies
  • Weclome to Pink World

Parte 2:

  • + many FREE sex games
  • FREE porno-soft
  • New FREE sex soft

Ejemplo:

Asunto: Weclome to Pink World + many FREE sex games

El cuerpo del mensaje se arma con una extensa combinación de textos en diferentes variantes, en el formato "[Parte 1] + [Parte 2] + [Parte 3] + [Parte 4]", etc...

Variante 1 ([Parte 1] + [Parte 2] + [Parte 3] + [Parte 4]):

Parte 1, uno de los siguientes textos:

SUPERGAME! Look as fine blonde
SEX SOFT! hot mom
SEX SOFT! black hitchiker teen
SEX SOFT! dirty girl
SEX SOFT! amateur slut
SEX SOFT! petite babe
SEX SOFT! busty teen
SEX SOFT! wet secretary
SEX SOFT! wild wife

Parte 2, una de las siguientes frases:

  • This is a free demo version, and we hope you want visit our web-site
  • Please visit our web site

Parte 3, uno de las siguientes líneas:

WWW.EXPLOITEDPUSSY.COM
WWW.SLEAZYDREAM.COM
WWW.ALLHOTPORN.COM
WWW.TEENFILES.NET
WWW.ADULTMOVIESTATION.NET
WWW.DISCRETESEX.COM

Parte 4, una de estas frases:

  • to take more sex programs
  • to take full version

Variante 2 ([Parte 1] + [Parte 2] + [Parte 3]):

Parte 1, uno de los siguientes textos:

  • 150 GIG OF DOWNLOADABLE MOVIES - FREE PASSWORD
  • HIGH QUALITY MPEGS - NEW SCENES EVERY DAY - 100k+ PICS TOO
  • Full lenght movies
  • THE BEST MOVIES ONLINE
  • HUGE archive of previous movies available! TONS of movies

Parte 2, una de las siguientes frases:

  • A new 150mb full lenght movie is added every day
  • All in DVD quality
  • Full screen quality
  • GET FULL ACCESS TO OUR MEMBERS AREA FOR 30 MINUTES - FREE
  • GET YOUR 30 MINUTES FREE ACCESS
  • Ultra fast downloads
  • Updated every day
  • WEBMASTERS MAKE MONEY

Parte 3, una de estas frases:

  • Install NOW!!!
  • Installer in attach
  • Test our soft now!

Variante 3 (una de las siguientes frases):

  • Install a locator of FREE sex movies of our site as adversting
  • Install porno screen saver as adversting
  • This is a new imitator as adversting
  • We presents to you ours new sex game as adversting

Cómo datos adjuntos un nombre construido al azar con estas combinaciones:

[Parte 1] + [Parte 2]

Parte 1:

sexy
hottest
cumshot
analsex
oralsex
asian
hardcore
slut
doggy
sucking
messy

Parte 2:

girls.dll
blonde.dll
pamela.dll
lesbians.dll
teens.dll
virgins  .dll
hardcore      .dll
slut.dll
doggy.dll
sucking.dll
messy.dll

Ejemplo:

Datos adjuntos: "hottest girls.dll"

Cuando se ejecuta, el gusano se copia en el directorio System de Windows:

C:\Windows\System\Runner.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

También se agrega a la siguiente clave del registro para asegurarse que será ejecutado en cada nuevo reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Runner = Runner.exe /auto /rsrc32.dll

El gusano busca otros archivos en formato PE EXE de Windows, en discos locales y también los compartidos en red, y copia su código al principio de cada uno de esos archivos.

Para devolverle el control al programa infectado, el gusano crea una copia desinfectada del mismo en memoria y le pasa el control.

En caso de un error, el gusano muestra sus propios mensajes de error, que ocultan su verdadera acción:

  • Error of loading WIN32.DLL file
  • Loading incomplete. Correct work is not warranted! Continue?
  • General error 1452 in KERNEL32.DLL
  • Program terminated

Para enviar los mensajes infectados, el gusano accede directamente al servidor SMTP de la cuenta por defecto del usuario infectado, dato que obtiene del registro.

Las direcciones de correo a las que se envía, son recogidas de archivos con extensión .HTM y .HTML (páginas Web, etc.). La lista es guardada en un falso DLL:

C:\Windows\System\runner.dll

El gusano también es capaz de borrar en determinados días todos los archivos de las carpetas personales ("Mis documentos", "Historial", "Cookies", etc.), sobrescribiéndolos con su código. Los archivos son irrecupearbles.

Esta acción ocurre en las siguientes fechas:

13 de febrero
7 y 16 de marzo
21 de abril
8 y 18 de mayo
11 de junio
3 de julio
29 de agosto
30 de octubre
5 y 26 de noviembre
11 y 30 de diciembre

El código del gusano contiene el siguiente texto:

Runner "Pilot" 01/2003


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\System\Runner.exe
C:\Windows\System\runner.dll

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a lo descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Runner

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS