|
VSantivirus No. 1177 Año 7, Sábado 27 de setiembre de 2003
W32/Smibag.A. Se propaga por Messenger como SMB.EXE
http://www.vsantivirus.com/smibag-a.htm
Nombre: W32/Smibag.A
Tipo: Gusano de Internet
Alias: smb.exe, Trojan.Admagic, W32.Smibag.Worm, W32/Smibag.worm.dll, W32/Smibag.worm.dr, WORM_SMIBAG.A, Win32/Smibag.A, Smess, Sinmsn
Fecha: 26/set/03
Plataforma: Windows 32-bit
Tamaño: 163,480 bytes
Este gusano, escrito en Microsoft C++, intenta propagarse a través del MSN Messenger, y falla si este programa no está instalado en la máquina infectada. Fue ampliamente reportado originalmente en Corea, en la tarde del 26 de setiembre de 2003.
Se trata de un gusano multicomponentes, que se envía a toda la lista de contactos del MSN, como un archivo de nombre SMB.EXE. Los receptores deben confirmar la recepción de este archivo para que el mismo se descargue.
SMB.EXE es un archivo comprimido, autoextraíble, que cuando se ejecuta, descomprime y copia los siguientes archivos en la máquina infectada (se muestra una ventana MS-DOS cuando ello ocurre):
.\admagic.exe
.\atl.dll
.\ext.zip
.\msnvc.exe
.\raw32x.dll
.\sm.dll
.\uz.exe
c:\admagic.exe
c:\smb.exe
c:\test.txt
c:\windows\system\raw32x.dll
c:\windows\system\sm.dll
c:\windows\system\uz.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
º ADMAGIC.EXE, es el gusano propiamente dicho, también detectado como un conocido Adware.
º ATL.DLL. Un DLL de Microsoft Visual C++ (Active Template Library), no malicioso, borrado luego por el propio gusano.
º EXT.ZIP. Es un archivo .ZIP usado por el gusano, y luego borrado.
º MSNVC.EXE. Un componente malicioso, luego borrado por el gusano.
º RAW32X.DLL. Archivo con datos usado por el gusano, y luego borrado.
º SM.DLL. Un Browser Helper Object (BHO) malicioso, borrado luego. Un objeto BHO es un DLL que se integra al Internet Explorer, pudiendo ejecutar eventos predeterminados, como interceptar las llamadas de Active Script que permiten la apertura de ciertas ventanas.
º UZ.EXE. Una herramienta de compresión no maliciosa, luego borrada por el gusano.
º SMB.EXE. Se trata del archivo comprimido autoextraíble que contiene todos los componentes del gusano, usado para propagarse a través del MSN Messenger.
º TEST.TXT. Un archivo de cero bytes.
º RAW32X.DLL. Un archivo de datos usados por el gusano.
También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svchost = c:\admagic.exe
Además, crea las siguientes entradas:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\explorer\Browser Helper Objects
\{CD03FC97-2C85-4714-A5FF-37821781BE8C}
HKCR\CLSID\{CD03FC97-2C85-4714-A5FF-37821781BE8C}
HKCR\CLSID\Interface\{119D8864-53C2-4681-8D29-4F1E2A911DA1}
HKCR\CLSID\TypeLib\{422FB26A-0DB0-4D4C-A65F-91034971476B}
HKCR\Winner.WinnerObject.1
HKCR\Winner.WinnerObject
Utiliza el archivo temporal MSNVC.EXE para enviarse a si mismo a través de la versión coreana del MSN Messenger. El nombre del archivo enviado es SMB.EXE. Si este archivo es abierto por un usuario del MSN, infectará su computadora.
El código posee enlaces a varios sitios pornográficos, seguramente con la intención de mostrar ventanas del tipo pop-up con anuncios.
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar los archivos creados por el gusano.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
TEST.TXT, RAW32X.DLL, SM.DLL, UZ.EXE, MSNVC.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:
TEST.TXT, RAW32X.DLL, SM.DLL, UZ.EXE, MSNVC.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
svchost = C:\ADMAGIC.EXE
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\explorer
\Browser Helper Objects
\{CD03FC97-2C85-4714-A5FF-37821781BE8C}
5. Pinche en la carpeta "{CD03FC97-2C85-4714-A5FF-37821781BE8C}" y bórrela.
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{CD03FC97-2C85-4714-A5FF-37821781BE8C}
7. Pinche en la carpeta "{CD03FC97-2C85-4714-A5FF-37821781BE8C}" y bórrela.
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\Interface
\{119D8864-53C2-4681-8D29-4F1E2A911DA1}
9. Pinche en la carpeta "{119D8864-53C2-4681-8D29-4F1E2A911DA1}" y bórrela.
10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\TypeLib
\{422FB26A-0DB0-4D4C-A65F-91034971476B}
11. Pinche en la carpeta "{422FB26A-0DB0-4D4C-A65F-91034971476B}" y bórrela.
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\Winner.WinnerObject.1
13. Pinche en la carpeta "Winner.WinnerObject.1" y bórrela.
14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\Winner.WinnerObject
15. Pinche en la carpeta "Winner.WinnerObject" y bórrela.
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|