|
VSantivirus No. 1472 Año 8, sábado 17 de julio de 2004
Troj/Windang.B. Sobrescribe archivos del disco duro
http://www.vsantivirus.com/troj-windang-b.htm
Nombre: Troj/Windang.B
Tipo: Caballo de Troya e infector de archivos
Alias: Windang.B, Win32:VB-1 [Trj], Worm/Darby.G.2, VB.G, Trojan.Win32.VB.gq, Trojan.Mejida, Generic, Trojan.Vb.Gq, Trojan Horse, Win32/VB.GQ, W32/Loulod.A.worm, PE_WINDANG.B, Trojan:Win32/VB.GQ, Troj/VB-EJ, Win32.VB.H, ~NEW_VIRUS, Trojan.VB.BK, PE_WINDANG.B-O
Fecha: 22/abr/04
Plataforma: Windows 32-bit
Tamaño: 49,152 bytes
Se trata de un troyano escrito en Visual Basic, que luego de ejecutarse, queda residente en memoria. Puede propagarse a través de disquetes.
Infecta todos los archivos .DOC del disco duro, agregando su código al comienzo de los mismos. Luego, cambia el nombre de los documentos infectados a .EXE.
Se copia a si mismo con el siguiente nombre y ubicación:
c:\windows\lsass.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winlogon = c:\windows\lsass.exe
IMPORTANTE: No confunda este archivo con C:\WINDOWS\SYSTEM32\LSASS.EXE, que es un archivo legítimo de algunas versiones de Windows, presente en la carpeta SYSTEM32.
Si existe un disquete en la unidad A:, y el mismo no tiene habilitada la protección contra escritura, el troyano intentará copiarse en dicho disquete.
Note que al estar renombrado a .EXE, al hacer doble clic sobre un documento infectado, no se abre el programa asociado (Word por ejemplo) sino que se ejecuta el troyano, el cuál extrae el documento original en el directorio actual y lo vuelve a renombrar como .DOC. El troyano abre este .DOC y luego queda residente en memoria.
Después de unas pocas horas activo en memoria sin realizar ninguna otra acción, el virus intenta sobrescribir todos los archivos en todas las unidades de disco locales, incluyendo las disqueteras, con el siguiente texto:
Virus MlourdesHReloaded II ha atakdo esta computadora
Virus 100% Méxicano, no es muy peligroso que digamos
Pero tu has sido el rival más débil ¡Adios!
Saludos a Ana Paty de Sinaloa y a Gedzac Labs
Espero y se hallan pasado una feliz Navidad y un próspero año nuevo
Feliz 2004 para todos
Para mayor información enviar un e-mail a tips @ esmas .com
donde hablamos de computación en tu idioma
*-Dime solo esta vez, que has pensado... solo esta vez -*
El troyano puede crear también el siguiente archivo:
c:\MLHR_Corporation_GeDzAc.htm
Este archivo HTML, contiene un texto en español, y si se despliega, muestra un texto deslizante en varios colores (una marquesina), con el siguiente contenido:
Grupo GeDZac
También crea un archivo llamado GEDZAC.MLH, que parece servir de contador interno para las rutinas del troyano.
Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección.
Preparación
1. Descarga de PROCEXP.EXE
Antes de eliminar este troyano, es necesario detener su ejecución en memoria. Puede usarse el administrador de tareas de Windows, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.
2. Busque en la lista de procesos el que se llame "lsass.exe".
3. Pulse el botón derecho sobre ese proceso, y compruebe que el camino (path) indicado sea el siguiente:
C:\WINDOWS\lsass.exe
Nota: el verdadero LSASS.EXE está en "C:\WINDOWS\system32\lsass.exe" (carpeta SYSTEM32). Si es así NO LO BORRE.
4. Si en cambio el path mostrado es "C:\WINDOWS\lsass.exe", en la misma ventana pulse en el botón "Kill Process" para matar este proceso.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Winlogon = c:\windows\lsass.exe
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\lsass.exe
IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\LSASS.EXE, ya que es un archivo legítimo de Windows.
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, y seleccione "Archivos o carpetas".
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
GeDzaC.mlh; MLHR_Corporation_GeDzAc.htm
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:
GeDzaC.mlh; MLHR_Corporation_GeDzAc.htm
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
4. Reitere estos pasos en cada disquete previamente utilizado
Después de una limpieza, deberá renombrar los archivos .DOC modificados por el troyano como .EXE
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|