VSantivirus No. 1159 Año 7, Martes 9 de setiembre de 2003
W32/Vote.K. Borra archivos y deja inoperativo a Windows
http://www.vsantivirus.com/vote-k.htm
Nombre: W32/Vote.K
Tipo: Gusano de Internet
Alias: W32.Vote.K@mm, DER.K, W32/Der.K@mm, I-worm.der.K@mm, W32/Der.K, Win32/Der.L, Bloodhound.W32.VBWORM
Plataforma: Windows 32-bit
Fecha: 5/set/03
Tamaño: 102,400 bytes
Este gusano, escrito en Microsoft Visual Basic 6, sobrescribe archivos con diversas extensiones, dejando inoperativo al sistema, y haciendo imposible la reparación de los mismos.
Para que funcione, requiere los archivos run-time de Visual Basic 6.
Puede autoenviarse a todos los contactos de la libreta de direcciones de Windows, utilizando las funciones MAPI (Messaging Application Programming Interface).
También intenta propagarse a través de la red de intercambio de archivos KaZaa.
El mensaje puede tener las siguientes características:
Asunto: THE WAR HAS STARTED !
Datos adjuntos: WTC32.scr
Texto:
[nombre destinatario], THE WAR IS NOT A JOKE !...
THERE IS ONE BUILDING UP RIGHT NOW
Let's Unite In This Horrible Kaos. ...
Fight For Us....!!! ...And Let Us Remember Those
Lost Souls ! WE COUNT ON YOU !
Greetings,
World War Veterans.
Cuando se ejecuta, muestra un mensaje con el siguiente contenido:
WORLD TRADE CENTER
WE WILL ALWAYS REMEMBER THOSE LOST SOULS...
[ OK ]
También muestra otros mensajes, seleccionados al azar de una lista interna. El título de los mensajes es VICTIM # [xxx], donde [xxx] representa un número también al azar.
Se copia en las siguientes ubicaciones y con los siguientes nombres, sobrescribiendo algunos archivos de Windows, como el bloc de notas (notepad.exe):
c:\windows\notepad.exe
c:\windows\wtc32.scr
c:\autorun.com
c:\nt-help.com
c:\op_me.co_
c:\documents and settings\all users\desktop\welcome.scr
También crea los siguientes archivos:
c:\microsoft nt help.html
c:\autostart.bat
c:\autorun.bat
c:\wtc.txt
c:\wtc32.dll
El archivo WTC.TXT contiene el siguiente texto:
You Are A Victim Of The WTC Worm !
WTC32.DLL en realidad es un archivo de texto, que contiene el siguiente mensaje:
Users In Harmony With God !
El gusano crea además la siguiente carpeta:
C:\suPs
Luego copia el archivo C:\AUTOSTART.BAT con el siguiente nombre, dentro de esa carpeta:
C:\suPs\yyybp.bat
También agrega una papelera de reciclaje en dicha carpeta:
C:\suPs\Recycled
Luego sobrescribe todos los archivos con las siguientes extensiones de todas las unidades de disco y carpetas, a excepción del directorio raíz, con una copia de si mismo:
.com
.exe
.scr
También sobrescribe con copias de si mismo, todos los archivos con las siguientes extensiones, en todos los discos y carpetas, a excepción del directorio raíz:
.bmp
.jpg
.mp3
.mpg
.rar
.wav
.zip
A estos archivos luego le agrega la extensión .EXE.
Por ejemplo, si existe un archivo IMAGEN.BMP, lo sobrescribe con su código, y luego lo renombra como IMAGEN.BMP.EXE.
También sobrescribe todos los archivos con las siguientes extensiones, por el contenido del archivo
"C:\MICROSOFT NT HELP.HTML".
.htm
.html
.htt
Sobrescribe todos los archivos con las siguientes extensiones, por el contenido del archivo "C:\MICROSOFT NT HELP.HTML", y luego le agrega la extensión .HTM:
.ai
.doc
.pif
.psd
.rtf
.txt
Por ejemplo, si existe un archivo DOCUMENTO.DOC, lo sobrescribe con el contenido de "C:\MICROSOFT NT HELP.HTML", y luego lo renombra como DOCUMENTO.DOC.HTM.
Sobrescribe los archivos .BAT con el contenido de AUTOSTART.BAT.
Copia el archivo AUTOSTART.BAT a las siguientes ubicaciones y nombres:
c:\windows\start menu\programs\startup\cniad.bat
c:\documents and settings\all users\start menu
\programs\start up\ntfs.bat
Sobrescribe el archivo WIN.INI.
Sobrescribe el archivo SYSTEM.INI con el siguiente contenido:
[boot]
shell=explorer.exe C:\Windows\pbbgt.bat
Intenta borrar los archivos que coincidan con los siguientes comodines:
c:\*.*
c:\windows\*.sys
c:\windows\system32\*.dll
c:\windows\system32\*.ocx
Agrega la siguiente entrada al registro, para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
W32Tc = c:\windows\wtc32.scr
Modifica las siguientes entradas:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
RegisteredOwner = YOU ARE A VICTIM OF THE
RegisteredOrganization = WORLD TRADE CENTER
ProductName = w32.hllw.I-Worm.WTC.03
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = c:\windows\wtc32.scr
Agrega la siguiente entrada:
HKCU\Software\Microsoft\Windows\CurrentVersion
WtcSnd = 1
Crea la siguiente carpeta:
C:\Windows\Systm32\
Luego intenta copiarse allí con algunos de los siguientes nombres:
18_britney_sucking_sex_.avi.scr
18_britney_sucking_sex_.jpg.scr
18_britney_sucking_sex_.mpg.scr
fucking_hot_horny_screensaver_.avi.scr
fucking_hot_horny_screensaver_.jpg.scr
fucking_hot_horny_screensaver_.mpg.scr
orgy_incest_illegal_sex_.avi.scr
orgy_incest_illegal_sex_.jpg.scr
orgy_incest_illegal_sex_.mpg.scr
teen_pussy_hardcore_sex_.avi.scr
teen_pussy_hardcore_sex_.jpg.scr
teen_pussy_hardcore_sex_.mpg.scr
xxx_christina_celebrities_pamela_sex_screensaver_.avi.scr
xxx_christina_celebrities_pamela_sex_screensaver_.jpg.scr
xxx_christina_celebrities_pamela_sex_screensaver_.mpg.scr
xxx_teens_hot_gauge_aria_jennifer_sex_screensaver_.avi.scr
xxx_teens_hot_gauge_aria_jennifer_sex_screensaver_.jpg.scr
xxx_teens_hot_gauge_aria_jennifer_sex_screensaver_.mpg.scr
Crea un archivo llamado PICT232.REG, y luego lo utiliza para agregar los siguientes valores al registro:
HKCU\Software\Kazaa\LocalContent
DisableSharing = 0
DownloadDir = C:\Program Files\KaZaA\My Shared Folder
Dir0 = 012345:C:\Windows\Systm32
Dir1 = 012345:C:\
Luego envía en forma masiva el mensaje ya visto, a todos los contactos de la libreta de direcciones, utilizando el Microsoft Outlook y Outlook Express.
Crea un script de mIRC para propagarse a otros usuarios que utilicen los mismos canales de chat.
\mirc\script.ini
Reparación manual
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior, aunque seguramente, si la rutina destructiva se llegó a ejecutar, la única solución efectiva sea reinstalar todos los programas y aplicaciones, incluido Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\notepad.exe
c:\windows\wtc32.scr
c:\autorun.com
c:\nt-help.com
c:\op_me.co_
c:\documents and settings\all users\desktop\welcome.scr
c:\microsoft nt help.html
c:\autostart.bat
c:\autorun.bat
c:\wtc.txt
c:\wtc32.dll
\mirc\script.ini
También borre la siguiente carpeta y su contenido:
C:\suPs\
C:\Windows\Systm32\
No confunda "Systm32" (falta una "E"), con "System32", que es una carpeta de Windows.
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
W32Tc
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
5. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, cambie los siguientes valores:
RegisteredOwner = YOU ARE A VICTIM OF THE
RegisteredOrganization = WORLD TRADE CENTER
ProductName = w32.hllw.I-Worm.WTC.03
Por los suyos:
RegisteredOwner = [su nombre]
RegisteredOrganization = [vacío]
ProductName = [versión de Windows, por ej.: Windows 98]
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
7. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguiente entradas:
DisableSharing
DownloadDir
Dir0
Dir1
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main
9. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada:
Start Page
10. Pinche en "Start Page" y modifique el valor "C:\Windows\WTC32.scr" por el valor "about:blank".
11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cómo recuperar NOTEPAD.EXE
En Windows 98:
1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.
2. Marque "Extraer un archivo del disco de instalación"
3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:
NOTEPAD.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").
En Windows Me:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar:
NOTEPAD.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").
Editar el archivo SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell=explorer.exe C:\Windows\pbbgt.bat
y déjelo así:
[boot]
shell=explorer.exe
3. Grabe los cambios y salga del bloc de notas
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|