Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

VB.NBR. Se propaga por P2P, simula instalador
 
VSantivirus No. 1871 Año 9, domingo 21 de agosto de 2005

VB.NBR. Se propaga por P2P, simula instalador
http://www.vsantivirus.com/vb-nbr.htm

Nombre: VB.NBR
Nombre NOD32: Win32/VB.NBR
Tipo: Gusano de Internet
Alias: VB.NBR, Trojan.FakeSetup, VB.b, W32.Alcra.C, W32/Alcra-B, W32/Imagrayd.A.wom, W32/Phaze.A@p2p, Win32.Alcan.E, Win32.Worm.VB.AN, Win32/Alcra.C!Worm, Win32/VB.NBR, Win32:Vibpack, Worm.Alcan.D, Worm.VB.CMV, Worm.Win32.VB.an, Worm.Win32.VB.AN, Worm/VB.an.1, Worm/VB.CE, WORM_VB.AQ
Fecha: 22/jun/05
Plataforma: Windows 32-bit
Tamaño: 770,048 bytes

Gusano programado en MS Visual Basic, que se propaga a través de redes de intercambio de archivos entre usuarios (P2P).

Cuando se ejecuta, el gusano muestra una pantalla de instalación falsa, y cuando el usuario inicia la instalación, se presenta una ventana con el siguiente texto:

Setup
Version has expired please download software update.
                                      [   OK   ]

Cuando ello ocurre, el gusano ya se ha instalado en el equipo, creando la carpeta "winupdates" en el directorio de archivos de programa y copiándose dentro de la misma:

c:\archivos de programa\winupdates\winupdates.exe

También crea los siguientes archivos:

c:\s.tmp
c:\windows\system32\bszip.dll
c:\a.zip

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea la carpeta "Uploads" en el directorio raíz, y se copia en ella con los siguientes nombres:

c:\Uploads\50 Cent - In Da Club-Music Vid.zip
c:\Uploads\8 In 1 Complete System Maintenance.zip
c:\Uploads\ACD Systems FotoSlate 4.0.21.zip
c:\Uploads\AceFTP Pro 3.70.zip
c:\Uploads\AD Picture Viewer 3.5.288.zip
c:\Uploads\Adobe After Effects 6.5.zip
c:\Uploads\Adobe Creative Suite 2 iSO.zip
c:\Uploads\Adobe Encore DVD 1.5 Pro.zip
c:\Uploads\Advanced Uninstaller PRO 2005 v7.0.zip
c:\Uploads\Age of Empires 2 Gold Edition.zip
c:\Uploads\Ahead NeroVision Express v3.1.0.11.zip
c:\Uploads\All-into-One FLASH Mixer 1.1.zip
c:\Uploads\Antivirus Nod32 2.50.19.zip
c:\Uploads\AV Voice Changer Diamond Edition 4.0.41.zip
c:\Uploads\Backup DVD Professional 2.03.zip
c:\Uploads\Borland Delphi 2005.zip
c:\Uploads\BSPlayer 1.32.zip
c:\Uploads\CoffeeCup Direct FTP 6.2.zip
c:\Uploads\CoffeeCup HTML Editor 2005g.zip
c:\Uploads\Commandos 3 Destination Berlin.zip
c:\Uploads\CopyToDVD 3.0.55.zip
c:\Uploads\Core FTP Pro Build 1419 v1.3.zip
c:\Uploads\Counter-Strike Source [NonSteam v11] + Updates.zip
c:\Uploads\Counter-Strike v1.6 [NonSteam v21].zip
c:\Uploads\Crystal Player 1.96 Pro.zip
c:\Uploads\Cute FTP Pro 7.0.zip
c:\Uploads\Directory Opus 8.1.0.5.zip
c:\Uploads\DivX Pro 5.2.1 Full.zip
c:\Uploads\Downfall.zip
c:\Uploads\Download Accelerator Plus 7.4.1 Premium.zip
c:\Uploads\DVD Region+CSS Free 5.61.zip
c:\Uploads\EDraw Flowchart Software 1.5.zip
c:\Uploads\Eminem_feat_Dido - Stan(snl).zip
c:\Uploads\Eminem-White America-Music Vid.zip
c:\Uploads\EvilLyrics 0.1.8 RC1.zip
c:\Uploads\Fifa 2005 Reloaded.zip
c:\Uploads\Flash Designer v5.0.20.5.zip
c:\Uploads\Flash Studio PRO 2.zip
c:\Uploads\Freddy Vs. Jason (Divx).zip
c:\Uploads\FTP Commander.zip
c:\Uploads\FTP Voyager v12.0.0.3.zip
c:\Uploads\Get Unlimited Bandwidth From Your Host.zip
c:\Uploads\Grand Theft Auto 3.zip
c:\Uploads\HDD Regenerator 1.51.zip
c:\Uploads\Holly Valance Wallpaper.zip
c:\Uploads\Home Plan Pro 4.6.37.zip
c:\Uploads\Learn Programming With Flash MX.zip
c:\Uploads\Legal Billing v6.0.3.1.zip
c:\Uploads\LimeWire PRO 4.9.0 BETA.zip
c:\Uploads\LimeWire Pro 4.9.0.zip
c:\Uploads\Linkin Park - 3 Full Album.zip
c:\Uploads\Longhorn Inspirat Shell Pack 1.1.zip
c:\Uploads\Macromedia Fireworks MX 2004 7.0.zip
c:\Uploads\Mad Cars 1.06.zip
c:\Uploads\Madagascar The Movie.zip
c:\Uploads\MahJong Suite 2005 2.5.zip
c:\Uploads\McAfee Virus Scan 2005.zip
c:\Uploads\Microsoft AntiSpyware 1.0.613 Beta.zip
c:\Uploads\Microsoft Office 2003 Pro ISO.zip
c:\Uploads\Microsoft Plus! Digital Media Edition .zip
c:\Uploads\Microsoft Small Business Financials 2006.zip
c:\Uploads\Microsoft Windows AntiSpyware.zip
c:\Uploads\Mr. And Mrs. Smith.zip
c:\Uploads\NBA Live 2005.zip
c:\Uploads\Nero Burning ROM v6.6.0.14 Ultra Edition.zip
c:\Uploads\NOD32 v2.50.26.zip
c:\Uploads\Norton AntiVirus 2005 Pro.zip
c:\Uploads\Office Xp (.ISO).zip
c:\Uploads\Pearl Harbour Zero Hour.zip
c:\Uploads\PingGraph v2.0.1.9.zip
c:\Uploads\Pinnacle Studio 9.zip
c:\Uploads\Port Detective 2.0.zip
c:\Uploads\PowerQuest System Tools 2005 All-in-One (21-in-1).zip
c:\Uploads\PowerQuest System Tools 2005.zip
c:\Uploads\PowerTCP FTP for NET v2.3.0.zip
c:\Uploads\Quake 3 Arena.zip
c:\Uploads\Real Player 10.5 Gold.zip
c:\Uploads\Recover My Files 3.26.zip
c:\Uploads\Registry Healer 4.3.0.zip
c:\Uploads\Robo-FTP v2.1.2.6.zip
c:\Uploads\Roller Coaster Tycoon 3 Soaked.zip
c:\Uploads\Sinbad Legend Of The Seven Seas.zip
c:\Uploads\SmartFTP 1.2.988.15 Development.zip
c:\Uploads\Sony CD Architect 5.2.zip
c:\Uploads\Sony Vegas 6.0.zip
c:\Uploads\South Park - 807 The Jeffersons.zip
c:\Uploads\South Park - 808 - Goobags.zip
c:\Uploads\South Park-410 Cartmans Silly Hate Crime.zip
c:\Uploads\SpyRemover 2.31.zip
c:\Uploads\SpyStopper v3.0F.zip
c:\Uploads\Star Wars - Republic Commando.zip
c:\Uploads\Stellar Phoenix FAT & NTFS 2.1.zip
c:\Uploads\Still hot little girls wallpa.zip
c:\Uploads\Teen Anna's Sex.zip
c:\Uploads\TM Full 7045. 7398. 7664..zip
c:\Uploads\Tony Hawk's Underground 2.zip
c:\Uploads\TurboFTP 4.15 Build 382.zip
c:\Uploads\Ulead COOL 3D Production Studio 1.0.1.zip
c:\Uploads\VanDyke AbsoluteFTP 2.2.10.zip
c:\Uploads\Virtual CD 7.0.zip
c:\Uploads\Visual SQL-Designer v3.99.zip
c:\Uploads\VueScan Professional Edition v8.1.43.zip
c:\Uploads\Warez P2P 2.8 .zip
c:\Uploads\WebRoot Spysweeper 4.0.3.zip
c:\Uploads\Winamp Alternative 1.01.zip
c:\Uploads\Winamp CD Case Beta 8.zip
c:\Uploads\WinBoost 4.90.zip
c:\Uploads\Windows 98 SE.zip
c:\Uploads\Windows Media Bonus Pack for Windows XP.zip
c:\Uploads\Windows Media Center Edition 2005.zip
c:\Uploads\WindowsXP Pro SP2 Corporate(Bare Bone Ed.zip
c:\Uploads\Winternals Administrator Pak v5.0-TDA.zip
c:\Uploads\World.Snooker.Championship.2005.zip
c:\Uploads\Xara Suite 2005 (All-in-one0.zip
c:\Uploads\Y! Intai for Yahoo Messenger User.zip
c:\Uploads\ZoomPlayer v4.50 RC2 WMV Pro.zip

El gusano también crea los siguientes archivos con un tamaño de cero byte, en el directorio del sistema, para evitar que el usuario pueda ejecutar los comandos relacionados (por ejemplo, si ejecuta REGEDIT [+ Enter], el sistema ejecutará antes el .COM que no es un archivo válido, en lugar de REGEDIT.EXE, que es el verdadero editor del registro):

c:\windows\system32\cmd.com
c:\windows\system32\netstat.com
c:\windows\system32\ping.com
c:\windows\system32\regedit.com
c:\windows\system32\taskkill.com
c:\windows\system32\tasklist.com
c:\windows\system32\tracert.com

El gusano busca algún cliente P2P instalado en el equipo infectado (eDonkey2000, eMule, KaZaa, Morpheus, etc.), y si los encuentra, copia los archivos de la carpeta "Uploads" en el directorio compartido por defecto de cada uno de estos programas.


Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Borre todos los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".

También borre los siguientes archivos (no borre los que tengan extensión .EXE, asegúrese antes tener configurado Windows para mostrar las extensiones verdaderas, como se explica más abajo). Además, estos archivos tienen un tamaño de cero bytes:

c:\windows\system32\cmd.com
c:\windows\system32\netstat.com
c:\windows\system32\ping.com
c:\windows\system32\regedit.com
c:\windows\system32\taskkill.com
c:\windows\system32\tasklist.com
c:\windows\system32\tracert.com

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS