VSantivirus No. 1661 Año 9, domingo 23 de enero de 2005
W32/VB.NBG. Gusano que obliga a reinstalar Windows
http://www.vsantivirus.com/vb-nbg.htm
Nombre: W32/VB.NBG
Nombre NOD32: Win32/VB.NBG
Tipo: Gusano de Internet
Alias: VB.NBG, Win32/VB.NBG, Trojan.Win32.VB.ry, W32/Generic.worm!p2p, W32.Nodmin@mm, WIN.SCRIPT.IRC.WORM.Virus, Worm/VB.3.X
Fecha: 22/ene/05
Plataforma: Windows 32-bit
Tamaño: variable
Gusano escrito en Visual Basic, que se propaga por correo electrónico, canales de IRC (utilizando el mIRC), y redes de intercambio de archivos entre usuarios (P2P).
Cuando se ejecuta, finaliza varios procesos relacionados con antivirus y cortafuegos, y modifica de tal modo el sistema que hace prácticamente imposible la recuperación del mismo sin una reinstalación de Windows.
Utiliza el Outlook (y Outlook Express), para enviarse a todos los contactos de la libreta de direcciones, en mensajes con las siguientes características:
De: [dirección falsa]
Asunto: [uno de los siguientes]
Check this!
Details
failure notice
Free GSM Ring Composer
Free GSM Screens
Free Handy Ringtones
Free SMS Center
Funny Stories
Green Card?
Help me!
Hi,baby
Important
Interesting
New friend
Re:
Re:Answer
Re:Details
Re:ICQ Password
Re:Question
RE:Re
Re:Windows Update
See My New Flat
Top secret
Wallpaper
Warning!!!
winxp error
Winxp problem
Texto del mensaje: [formado con combinaciones de los siguientes componentes]
10x
10x ...
but you can call me.
Can you help me
Can you help me.
Can you help me?
Check the attachment
Check the attachment.
Check this if you want a new job
For details see the attached file
For Details see the attached file.
For Fun see the attachment.. and give me your opinion
Free SMS Center - check the attached file.
Get your free ringtones
GSM Ring Composer for your Handy...
Have you seen whether you win a green card?
Hello,
Hi,
I am sure that this will help you.
I don"t have time for chatting this week,
I find this very interesting...
I have a very big problem
I have a very big problem with my OS
I have forgotton my ICQ password and i try
to check about it but it has an error on icq page.
I love you and this fun story too :)
I think you must call the police
If you fix the error, plese send me mail.
It makes fun :]]]]
It"s not only for Nokia :)
Just try
mail error 233
Please check the attached file.
Please check this error
Please read the attachment and call me.
Read my answer.
Read this funny story :))
Read this interesting news info :)
See my new friend
See my report!
See the attachment
See the Flash animation!!!
See the photos
See this - UFO top secret info
See this photo, have fun and phone me :)))!!!
Send me back your opinion
This file include your full bank information
This picture is for you.Have fun :)) {}
Try it"s a funny game :) []
We have a new flat
What"s up ?
Windows fatal error
Datos adjuntos: [uno de los siguientes]
answer.txt.exe
attachment.doc.exe
attachment.scr
check.exe
checkgcard.exe
details.htm.pif
details.php.pif
error.exe
error.txt.exe
flat.jpg.pif
fun.htm.scr
fun.php?id=8727277732323.scr
funstories.php?id=087457685bcxd?9283.scr
handy_matrix_screen.scr
hotringtones.jsp?=00d7uxnn3.pif
important.mdb.exe
news.index.htm.exe
old_password.htm?=7658754322btgisx.pif
photo.pif
photos.zip.pif
pic.pif
problem.htm.exe
problem.txt.exe
ringtones.exe
secret_att.zip.exe
smscenter.php?index!&%230000.scr
wallpaper0023.jpg.scr
warning.exe
winupdate.asp?=072344.pif
La primera vez que se ejecuta, muestra una ventana con el siguiente mensaje de error falso:
The file is either in unknow format or damaged!
Crea las siguientes copias de si mismo, en las siguientes carpetas y los siguientes nombres:
c:\documents and settings\all users
\menú inicio\programas\inicio\sservice.ila
c:\documents and settings\all users
\menu inicio\programas\inicio\lservice.exe
c:\free01.exe
c:\windows\system\bghacker$.exe
c:\windows\system\kbdbg.exe
c:\windows\system\microsoft suxx.exe
c:\windows\system\mymind.exe
c:\windows\system\open.exe
c:\windows\system\q-we are the champions.exe
c:\windows\winserv.ila
NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).
Para ejecutarse en cada reinicio del sistema crea las siguientes entradas en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winserv = c:\windows\Winserv.ila
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Winserv = c:\windows\Winserv.ila
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System = c:\windows\Winserv.ila
LegalNoticeCaption = ":: My Message :"
LegalNoticeText = FREE THE BULGARIAN MEDICS IN LIBYA
El gusano también crea los siguientes archivos:
c:\index.htm
c:\mymesg.txt
c:\windows\sysilani.ini
Descarga del siguiente sitio de Internet otro troyano, que luego ejecuta:
http:/ /freewebs .com/tornadotm/
Intenta finalizar los procesos activos con los siguientes nombres, todos ellos relacionados con antivirus y otras aplicaciones de seguridad (cortafuegos, etc.):
ackwin32.exe
advxdwin.exe
agentsvr.exe
agentw.exe
amon9x.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
apvxdwin.exe
atro55en.exe
avengine.exe
avgserv.exe
avgserv9.exe
avguard.exe
avgw.exe
avkpop.exe
avkserv.exe
avkservice.exe
avkwctl9.exe
avp.exe
avp32.exe
avpcc.exe
avpm.exe
avsched32.exe
avxmonitornt.exe
avxquar.exe
ccproxy.exe
cmd.com
command.com
firewall.exe
flashget.exe
fp-win_trial.exe
frw.exe
fsaa.exe
fsav.exe
fsav32.exe
fsav530stbyb.exe
fsav95.exe
fsgk32.exe
fsm32.exe
hl.exe
iexplore.exe
iface.exe
jammer.exe
jedi.exe
kaiowas.exe
kavpf.exe
kerio-pf-213-en-win.exe
killprocesssetup161.exe
ldnetmon.exe
ldpro.exe
ldpromenu.exe
ldscan.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lsetup.exe
luall.exe
luau.exe
lucomserver.exe
luinit.exe
luspt.exe
mcagent.exe
mcupdate.exe
mirc.exe
monitor.exe
moolive.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
mrflux.exe
msconfig.exe
msinfo32.exe
mssmmc32.exe
mu0311ad.exe
mwatch.exe
nav80try.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
navapw32.exe
navdx.exe
navlu32.exe
navstub.exe
navw32.exe
navwnt.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
neowatchlog.exe
nero.exe
netarmor.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
normist.exe
notepad.exe
notstart.exe
npfmessenger.exe
nprotect.exe
npscheck.exe
npssvc.exe
nsched32.exe
ntrtscan.exe
ntvdm.exe
ntxconfig.exe
nui.exe
nupgrade.exe
nupgrade.exe
nvarch16.exe
nvc95.exe
nvsvc32.exe
nwinst4.exe
nwservice.exe
nwtool16.exe
ostronet.exe
outpost.exe
outpostinstall.exe
panda.exe
pavproxy.exe
pavsrv50.exe
pccwin97.exe
pccwin98.exe
pcdsetup.exe
pcfwallicon.exe
pcip10117_0.exe
pcscan.exe
pdsetup.exe
periscope.exe
persfw.exe
perswf.exe
pf2.exe
pfwadmin.exe
pingscan.exe
platin.exe
pop3trap.exe
poproxy.exe
popscan.exe
portdetective.exe
portmonitor.exe
ppinupdt.exe
ppvstop.exe
protectx.exe
pspf.exe
purge.exe
qconsole.exe
qserver.exe
rapapp.exe
rav7.exe
sweepsrv.sys
swnetsup.exe
symproxysvc.exe
symtray.exe
sysedit.exe
taskmon.exe
taumon.exe
tc.exe
tds-3.exe
tfak.exe
tfak5.exe
titanin.exe
toolkit.exe
winamp.exe
word.exe
zatutor.exe
zonalm2601.exe
zonealarm.exe
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
data .bg
download .mcafee .com
downloads -eu1 .kaspersky - labs .com
downloads -us1 .kaspersky - labs .com
downloads1 .kaspersky - labs .com
downloads2 .kaspersky -labs .com
downloads3 .kaspersky -labs .com
downloads4 .kaspersky -labs .com
f -secure .com
google .com
kaspersky -labs .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
mtel .bg
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .ru
www .avp .com
www .ca .com
www .mcafee .com
www .my -etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
EL gusano modifica la siguiente clave en el registro de Windows, para que cada una de las asociaciones con las siguientes extensiones de archivos, no tengan ningún programa por defecto para poder abrirse:
HKEY_CLASSES_ROOT\[extensión]
(predeterminado) = ""
Donde [extensión] son todas las siguientes:
.ade
.adp
.asp
.bas
.bat
.chm
.cmd
.com
.cpl
.crt
.dll
.doc
.exe
.hlp
.hta
.ila
.isp
.js
.jse
.lnk
.mdb
.mde
.mp3
.msc
.msi
.msp
.mst
.ocx
.pcd
.pif
.pot
.ppt
.rar
.reg
.scr
.sct
.shb
.shs
.sys
.txt
.url
.vb
.vbe
.vbp
.vbs
.wsc
.wsf
.wsh
.xsl
.zip
También modifica las siguientes entradas para bajar el nivel de seguridad, evitar la ejecución del administrador de tareas y desactivar la restauración automática de Windows:
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 1
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
DisallowRun = regedit.exe
HKCU\Software\Microsoft
\Windows\CurrentVersion\Internet Settings\Zones\3
1803 = 3
HKCU\Software\Microsoft
\Windows\CurrentVersion\Internet Settings\Zones\3
1804 = 1
HKCU\Software\Microsoft
\Windows\CurrentVersion\Internet Settings\Zones\4
1803 = 3
HKCU\Software\Microsoft
\Windows\CurrentVersion\Internet Settings\Zones\4
1804 = 1
HKCU\Software\Microsoft\Outlook Express\5.0\Mail
Warn on Mapi Send = 0
HKCU\Software\Policies\Microsoft\Windows\System
DisableCMD = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableSR = 1
El gusano busca las carpetas por defecto utilizadas por varias aplicaciones P2P, y se copia en todas ellas con los siguientes nombres:
aladin.exe
apache.exe
batman.exe
c++ compile.exe
flashget crack.exe
friends.exe
ftp hack.exe
google_hacks.exe
hacker.exe
hotmail_hack.exe
ilani.exe
kaiowas hack.exe
mail exploit.exe
mail.exe
microsoft suckers.exe
norton antivirus 2004 patch.exe
php_nuke.exe
pokemon colosseum no-cd.exe
securecrtpatch.exe
splinter cell pandora no-cd.exe
star chamber no-cd.exe
sub7 gold.exe
super mario.exe
super pang.exe
tornado_tm.exe
unreal tournament 2004 no-cd.exe
vb6 keygen.exe
web hack.exe
winamp crack 5.12.exe
winamp final 5.11.exe
winamp5 crack.exe
windows exploit.exe
windows_xp_key_gen.exe
windows2003keygen.exe
winrar.exe
winxp_hack.exe
winxpkeygen.exe
winzip.exe
yu-gi-oh cards.exe
yu-gi-oh.exe
El gusano busca en el equipo infectado, carpetas con un nombre como "www" o "php". Si las encuentra crea los siguientes archivos dentro de ellas, suplantando los existentes:
index.asp
index.htm
index.php
También busca la carpeta donde se encuentre instalada la aplicación mIRC y sobrescribe el archivo "script.ini" con las instrucciones necesarias para enviarse a si mismo a otros usuarios que compartan los mismos canales de chat. Para enviarse utiliza el siguiente nombre de archivo:
BigBrother.exe
También muestra el siguiente mensaje:
If you are BigBrother Fan :P Look this clip;)
Reparación manual
Debido a la naturaleza destructiva del gusano que no permite la ejecución de archivos ".EXE" y ".COM", evita el uso del editor del registro, desactiva la restauración automática y otra clase de modificaciones que hacen imposible su limpieza en forma manual, la única solución luego de su acción, es recuperar el sistema desde un respaldo completo, o en su defecto reinstalar Windows y todos sus programas.
Al reinstalar Windows desde un CD, seleccione la misma carpeta en la que antes estuviera instalado el sistema operativo (C:\WINDOWS, etc.), para no perder la instalación anterior (Windows 95, 98 y Me), o la opción REPARAR (Windows 2000, XP).
Si no posee un respaldo de sus archivos personales, y su computadora contiene información crítica que no desea perder, recurra a un servicio técnico especializado para realizar las tareas de recuperación.
Recuerde que si mantiene actualizado su antivirus las probabilidades de infección serán mínimas.
Luego de la reinstalación, siga estos pasos:
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Winserv = c:\windows\Winserv.ila
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Winserv = c:\windows\Winserv.ila
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
7. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas que aparezcan de esta lista:
System = c:\windows\Winserv.ila
LegalNoticeCaption = ":: My Message :"
LegalNoticeText = FREE THE BULGARIAN MEDICS IN LIBYA
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|