|
VSantivirus No 2275 Año 10, sábado 21 de octubre de 2006
VB.SP. Simula un documento de Word, intenta formatear
http://www.vsantivirus.com/vb-sp.htm
Nombre: VB.SP
Nombre NOD32: Win32/VB.SP
Tipo: Caballo de Troya y gusano
Alias: VB.SP, Generic2.DCP, TR/VB.SP, Trj/Worder.A, Trojan.VB.JI, Trojan.VB.sp, Trojan.Win32.VB.B5B0, Trojan.Win32.VB.SP, Trojan.Win32.VB.sp, VB.c, W32/VB.SP!tr, W32/VB-SP, Win32.HLLW.Hware, Win32/Decopia.A, Win32/Hatte!Worm, Win32/VB.SP
Fecha: 13/jul/04
Actualizado: 20/oct/06
Plataforma: Windows 32-bit
Tamaño: 13,312 bytes
Caballo de Troya capaz de propagarse como gusano copiándose a si mismo en cualquier disquete no protegido contra escritura, que sea utilizado en el equipo infectado.
En versiones anteriores de Windows, modifica el archivo AUTOEXEC.BAT y WIN.INI. Puede hacer que se ejecute el comando FORMAT al reiniciar el PC.
También modifica el archivo HOSTS para redirigir a otro sitio al usuario, cuando éste intenta navegar a determinadas direcciones de Internet.
En Windows XP puede hacer que el programa Word (solo de Office XP), se ejecute al comienzo de cada sesión cuando se reinicia el sistema.
El gusano muestra el icono de un documento de Word.
Si el usuario hace clic sobre él para abrirlo con dicha aplicación, el gusano se ejecuta, mientras muestra al usuario una ventana con el siguiente mensaje falso:
Microsoft Word
Microsoft Word could not open this document
[ Aceptar ]
Al mismo tiempo, se crean los siguientes archivos:
c:\windows\MSRunDll32.exe
[carpeta de inicio]\Dll executer_AutoStarter.exe
NOTA 1: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
NOTA 2: [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\all users\menú inicio\programas\inicio
c:\documents and settings
\all users\start menu\programs\startup
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\all users\menú inicio\programas\inicio
c:\windows\all users\start menu\programs\startup
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
El gusano también crea las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
DllExecutable = "c:\windows\MSRunDll32.exe"
HKLM\SOFTWARE\IUWFH
En Windows 95, 98 y Me, modifica los siguientes archivos de inicio:
C:\AUTOEXEC.BAT
C:\WINDOWS\WIN.INI
En AUTOEXEC.BAT, crea las siguientes líneas, el primer grupo para formatear la unidad C, borrar archivos y autoejecutarse en cada reinicio:
En WIN.INI, crea la siguiente entrada para autoejecutarse en cada reinicio:
[Windows]
Run=\MsRunDll32.exe
Cada cierto tiempo, el gusano intentará copiarse a cualquier disquete que el usuario inserte en la unidad A, con el siguiente nombre:
SAMPLE1.EXE
El icono de este archivo, es el mismo de los documentos de Word.
El troyano modifica el archivo HOSTS de Windows, para redirigir al usuario a una determinada dirección IP cuando desea visitar cualquiera de los sitios aquí listados:
213.[bloqueado].226 1-se .com
213.[bloqueado].226 58q .com
213.[bloqueado].226 SymantecLiveUpdate .com
213.[bloqueado].226 SymantecLiveUpdated .com
213.[bloqueado].226 WindowsUpdate .com
213.[bloqueado].226 WindowsUpdated .com
213.[bloqueado].226 admisiones .unal .edu .co
213.[bloqueado].226 aifind .cc
213.[bloqueado].226 aifind .info
213.[bloqueado].226 allneedsearch .com
213.[bloqueado].226 approvedlinks .com
213.[bloqueado].226 es .Mail .Yahoo .com
213.[bloqueado].226 freednshosts .info
213.[bloqueado].226 msn .search .com
213.[bloqueado].226 search .msm .com
213.[bloqueado].226 securityresponse .symantec .com
213.[bloqueado].226 symantec .securityresponse .com
213.[bloqueado].226 www .Altavista .com
213.[bloqueado].226 www .AntiVirus .com
213.[bloqueado].226 www .Apple .com
213.[bloqueado].226 www .Apple .com/quicktime/download
213.[bloqueado].226 www .Argentina .com
213.[bloqueado].226 www .BasuraMail .com
213.[bloqueado].226 www .Bolivia .com
213.[bloqueado].226 www .Brazil .com
213.[bloqueado].226 www .CartoonNetwork .com
213.[bloqueado].226 www .CartoonNetworkLa .com
213.[bloqueado].226 www .Chile .com
213.[bloqueado].226 www .Colombia .com
213.[bloqueado].226 www .Ecuador .com
213.[bloqueado].226 www .EscuelaIng .com
213.[bloqueado].226 www .EscuelaIng .edu .co
213.[bloqueado].226 www .Google .com
213.[bloqueado].226 www .Google .com .co
213.[bloqueado].226 www .Hispavista .com
213.[bloqueado].226 www .HotMail .com
213.[bloqueado].226 www .IBM .com
213.[bloqueado].226 www .Kapersky .com
213.[bloqueado].226 www .LatinCards .com
213.[bloqueado].226 www .LatinChat .com
213.[bloqueado].226 www .LatinGames .com
213.[bloqueado].226 www .LatinMail .com
213.[bloqueado].226 www .Microsoft .com
213.[bloqueado].226 www .Microsoft .com .co
213.[bloqueado].226 www .Microsoft .es
213.[bloqueado].226 www .MundoNick .com
213.[bloqueado].226 www .MusicCity .com
213.[bloqueado].226 www .Nick .com
213.[bloqueado].226 www .PandaSoftware .com
213.[bloqueado].226 www .PandaSoftware .es
213.[bloqueado].226 www .Paraguay .com
213.[bloqueado].226 www .Planetarroba .com
213.[bloqueado].226 www .ProgramasFull .com
213.[bloqueado].226 www .Rotten .com
213.[bloqueado].226 www .SCO .com
213.[bloqueado].226 www .Sophos .com
213.[bloqueado].226 www .StarMedia .com
213.[bloqueado].226 www .Tnt .com
213.[bloqueado].226 www .TntLa .com
213.[bloqueado].226 www .Tonterias .com
213.[bloqueado].226 www .TrendMicro .com
213.[bloqueado].226 www .Uruguay .com
213.[bloqueado].226 www .Venezuela .com
213.[bloqueado].226 www .VirusList .com
213.[bloqueado].226 www .Yahoo .com
213.[bloqueado].226 www .Yahoo .es
213.[bloqueado].226 www .avg .com
213.[bloqueado].226 www .avp .com
213.[bloqueado].226 www .doubleclick .com
213.[bloqueado].226 www .icfes .gov .co
213.[bloqueado].226 www .msn .com
213.[bloqueado].226 www .sia .unal .edu .co
213.[bloqueado].226 www .soho .com .co
213.[bloqueado].226 www .symantec .com
213.[bloqueado].226 www .symantec .com .co
213.[bloqueado].226 www .terra .com
213.[bloqueado].226 www .udistrital .edu .co
213.[bloqueado].226 www .unal .edu .co
NOTA: La dirección IP 213.etc.etc.226, corresponde a un sitio en Rusia.
Puede llegar a nuestro PC al ser copiado manualmente en el sistema, al intentar abrir un supuesto archivo de Word (generalmente desde un disquete infectado), o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado.
Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el troyano, pueden aplicarse cambios en el sistema no contemplados en esta descripción. Incluso, se podría requerir la reinstalación de algunos programas, incluido el sistema operativo.
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\IUWFH
3. Haga clic en la carpeta "IUWFH" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. Cierre el editor del registro.
Modificar WIN.INI (solo Windows 95, 98 y ME)
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[Windows]
Run=\MsRunDll32.exe
Debe quedar como:
[Windows]
Run=
3. Grabe los cambios y salga del bloc de notas.
Modificar AUTOEXEC.BAT (solo Windows 95, 98 y ME)
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse en Aceptar.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre las siguientes líneas:
4. Seleccione Archivo, Guardar, para grabar los cambios.
Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.
6. Reinicie su computadora.
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|