Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/VB.AJ (Kedebe.A). Borra Microsoft Anti-Spyware
 
VSantivirus No. 1756 Año 9, jueves 28 de abril de 2005

W32/VB.AJ (Kedebe.A). Borra Microsoft Anti-Spyware
http://www.vsantivirus.com/vb-aj.htm

Nombre: W32/VB.AJ
Nombre NOD32: Win32/VB.AJ
Nombre más usado: Kedebe.A
Tipo: Gusano de Internet
Alias: VB.AJ, Kedebe.A, Kebede.A, Email-Worm.Win32.VB.aj, I-Worm/VB.2.BF, W32.Kedebe@mm, W32/Generic.e, W32/Kebede.A@mm, W32/Kedebe.A.worm, Win32.Kedebe.A@mm, Win32/Kebede.A@mm, Win32/VB.AJ, Worm/Kedebe.A.1, WORM_KEDEBE.A
Fecha: 27/abr/05
Plataforma: Windows 32-bit
Tamaño: 44,544 bytes

Este gusano, escrito en Microsoft Visual Basic, se propaga por correo electrónico.

Los mensajes infectados, poseen las siguientes características:

De: [uno de los siguientes]

[1]+[2]
Internet Explorer Team iexplorer@microsoft.com
jackoonfive@micaeljackoon.com
Secqrity Response secqrity@microsoft.com
Secqrity Team
The Jackson Brothers

Donde [1] puede ser uno de los siguientes nombres:

daniel_kqql
helen
helen_2002
helina_sexy
joe_ooql
michael
oamqel_99

Y [2] puede ser uno de los siguientes dominios:

@gmail.com
@hotmail.com
@msn.com
@yahoo.com
aol.com
fastmail.fm
mail.com
myway.com
yahoo.co.qk

Asunto: [uno de los siguientes]

- Attention!
- Attention! Your Internet account has been...
- Don't send this to me again!
- I have received your mail.
- I'm still waiting for your reply...
- Internet Explorer 7.0 on the row!!
- Mail server upgrading info.
- Sign a petition for Micael Jackson
- Urgent! Symantec Security Response.

Texto del mensaje: [uno de los siguientes]

Ejemplo 1:

Hey, why did you send this to me? I'm not going
to talk to you again. You know I don't like such
kinda pics. I have painted a reply on it. I have
also covered the nasty parts with dark color.
Anyway check it out it is all in the attachment.
Please don't send this kind of pictures to me.

Ejemplo 2:

Hi, how are you? I'm fine. Why didn't you reply
to me? I'm still waiting...by the way I have sent
you my recent picture with the close that like
most on. Please reply to me, I'm still waiting
for you.
I will send you another picture next time you reply, OK.

Ejemplo 3:

I don't think you know me. But one thing is happening
to me. It's your mail appearing in my inbox.
I am pissed off right now.

Ejemplo 4:

Dear customer,
I think it is business related mail, but I don't have
the habit to read someone else's mail. So I have
downloaded put it in the and about
the 'Genuine Microsoft' product information
consult the attached file.
Download mirrors are also included. So, I want you
to do something. Either change your email or change
your SMTP server, in that way I may get rest and
If you can't read the above message, then your
E-Mail Server is not capable of decrypting
secured E-Mails. Consult the so you may get your mail.
But if you don't, I'm not going to send you the
message rather I am going to put it to spam.
Please be fast, it's making my mail box out of space.
Thanks in advance.

Ejemplo 5:

Microsoft Internet Explorer 7.0 Beta has been ready for
download from the Microsoft Web site. How to download
Microsoft Windows Security Agent.
All Rights Reserved 2005.

attached secured file for the same message content.

Ejemplo 6:

We have been working hard to prevent you from computer
Viruses, Trojans and Internet Worms.
But we have found a new and different computer Virus
spreading through the Internet, which cannot be detect
by any AnitVirus softwares other than Norton.
This Worm has been on the Internet since last month.
Considering this, Symantec has prepared a zipped 'Patch'
that works for all AntiVirus softwares including,
Sophos and McAfee. Symantc strongly recommand you to
download and install this patch. But if your computer is
already infected then this patch will not work.
Furthermore, it is hard to remove the Virus after being
infected. Do not wait untill your computer gets infected.
NOTE: This is a freeware. You can share with any
of your relatives.
Symantec Security Response Team. All Rights Reserved.

Ejemplo 7:

Dear user,

This is to inform you that we are planning to clean
the server (http:/ /[dirección al azar]) for Viruses.
During this time the server may be closed.
So we have created a temporary mail account for you
on a temporary server.
In this case, your current ID, will be used but you'll
need to log in on another server. How to perform this
task, the temporary mail server address and your
temporary mail ID is in the attached file. Follow the
clearly organised steps in the attachment to log on to
our temporary mail server. Be careful! This server is
going to be closed in three days as you might not get
this file until we upgrade this server. If you encounter
any problem during the process,
please contact:[nombre al azar] Sorry for
the inconveniences you encounted.

Ejemplo 8:

As you know Michael is innocent. And if you believe he
is innocent please sign the petition and e-mail us.
Please, it won't take a minute. Name of people who have
signed and the electronic form is in the attachment.
If you do no agree that he is innocent, please fill
in the form and let us know what your attitude is.
Thank you in advance!

The Michael Jackson Commite 2005 .

Datos adjuntos: [uno de los siguientes]

Admini Password Cracker.exe
DVD to MP3 converter.exe
Microsoft AntiSpyware Crack.com
Naked teen-Actions.com
Norton AntiVirus 2006 Crack.exe
Win Server 2003 Remote Exploit.cmd
ZoneAlarm Security Suite 2005 Crack.com

Cuando se ejecuta crea los siguientes archivos en el sistema:

c:\windows\system32\gcasctrl.exe
c:\windows\system32\win32infchkr.exe

WIN32INFCHKR.EXE en realidad es un archivo de texto, que contiene el siguiente mensaje:

Properly infected. Kill those fools, Mydoom-er and Bagle-r!! They're DEAD!! EthioLove.X!!

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

El gusano crea la siguiente entrada para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Console Monitor = c:\windows\system32\gcasctrl.exe

Además, crea las siguientes entradas:

HKCU\Software\SpeedBit

HKLM\SOFTWARE\SpeedBit

Para propagarse, utiliza su propio motor SMTP. Las direcciones utilizadas, son extraídas de archivos en la máquina infectada, con las siguientes extensiones:

.abc
.asp
.dhtm
.doc
.eml
.htm
.html
.php
.rtf
.stm
.txt
.vcf
.wab
.xhhm

El gusano modifica el archivo HOSTS, para evitar que el usuario pueda acceder a los siguientes sitios desde un equipo infectado:

checkpoint .com
cm2 .zonelabs .com
download .mcafee .com
download .zonelabs .com
downloads1 .kaspersky-labs .com
downloads2 .kaspersky-labs .com
downloads3 .kaspersky-labs .com
downloads4 .kaspersky-labs .com
downloads-eu1 .kaspersky-labs .com
downloads-us1 .kaspersky-labs .com
hotmail .com
kaspersky .com
liveupdate .symantecliveupdate .com
mcafee .com
microsoft .com
nai .com
networkassociates .com
securityresponse .symantec .com
sophos .com
symantec .com
update .zonelabs .com
updates .symantec .com
viruslist .com
windowsupdate .com
www .checkpoint .com
www .f-secure .com
www .hotmail .com
www .kaspersky .com
www .mcafee .com
www .microsoft .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .windowsupdate .com
www .yahoo .com
www .zonelabs .com
yahoo .com
zonelabs .com

El gusano también intenta finalizar los siguientes procesos relacionados con aplicaciones de seguridad, antivirus y otros malwares:

agentsvr.exe
antivirus.exe
asfagent.exe
atwatch.exe
avserve2.exe
ccapp.exe
ccevtmgr.exe
ccsetmgr.exe
clean.exe
dap.exe
escanh95.exe
exantivirus-cnet.exe
flowprotector.exe
fp-win_trial.exe
fsav530stbyb.exe
gcasdtserv.exe
gcasserv.exe
gcasservalert.exe
giantantispywaremain.exe
giantantispywareupdater.exe
hacktracersetup.exe
isafe.exe
killprocesssetup161.exe
llssev.exe
luall.exe
lucoms~1.exe
lucomserver.exe
lxer32.vav
mantispm.exe
mcupdate.exe
mssmmc32.exe
navapsvc.exe
netmon.exe
netspyhunter-1.2.exe
nmain.exe
norton_internet_secu_3.0_407.exe
npfmntor.exe
nprotect.exe
nupgrade.exe
opscan.exe
ostronet.exe
penis32.exe
procexplorerv1.0.exe
proport.exe
rescue.exe
rtvscan.exe
shellspyinstall.exe
sndsrvc.exe
spbbcsvc.exe
spyxx.exe
symproxysvc.exe
taskmgr.exe
trjscan.exe
trojantrap3.exe
vsmon.exe
watchdog.exe
webscanx.exe
whoswatchingme.exe
zlclient.exe
zonalm2601.exe
zonealarm.exe

El gusano elimina los siguientes archivos y carpetas que están relacionados con algunos componentes de "Microsoft AntiSpyware" y "Zone Alarm Pro":

\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
\Microsoft AntiSpyware\GIANTAntiSpywareUpdater.exe
\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
\Zone Labs\ZoneAlarm\MailFrontier\

El gusano también crea varios mutex, relacionados con otros malwares como BAGLE, MYTOB y NETSKY, para prevenir que los mismos se ejecuten en los equipos infectados.


Reparación manual

NOTA: Las aplicaciones eliminadas deben ser reinstaladas.


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\gcasctrl.exe
c:\windows\system32\win32infchkr.exe

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices

3. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Windows Console Monitor

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\SpeedBit

5. Haga clic en la carpeta "SpeedBit" y bórrela.

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\SpeedBit

7. Haga clic en la carpeta "SpeedBit" y bórrela.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1   localhost

4. Acepte guardar los cambios al salir del bloc de notas.

5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS