|
VSantivirus No. 1406 Año 8, miércoles 12 de mayo de 2004
W32/Wallon.A. Infecta a través de un enlace
http://www.vsantivirus.com/wallon-a.htm
Nombre: W32/Wallon.A
Nombre NOD32: Win32/Wallon.A
Tipo: Gusano de Internet
Alias: Wallon, I-Worm.Wallon, Win32/Wallon.A, W32/Wallon.worm, W32/Wallon.A@mm, W32/Wallon.worm.a, WORM_WALLON.A, W32.Wallon.A@mm, Win32.Wallon, TR/SPY.GooglerFS.1
Fecha: 11/may/04
Plataforma: Windows 32-bit
Tamaño: 150,528 bytes (ASPack)
El 11 de mayo de 2004 se detectaron numerosos reportes de infección ocasionada por este gusano. El mismo envía un mensaje con formato HTML, sin adjuntos, que contiene un enlace que se vale del servicio de redireccionamiento de Yahoo para enviar el navegador del usuario a un sitio Web, donde se ejecuta un script que descarga y ejecuta el componente principal del gusano y otros archivos necesarios para su descarga e instalación. La página actualmente no está accesible.
Se trata de un gusano que no se envía como adjunto. En lugar de ello, envía un mensaje de correo electrónico en formato HTML, que solo contiene un enlace como el descrito antes.
El enlace redirecciona a un sitio de donde se descarga la página TERRA.HTML.
http :// www .security-warning .biz/personal6/maljo24
Este archivo contiene a su vez, un enlace encriptado a la página COUNT.HTML.
Esta página utiliza una conocida vulnerabilidad para descargar y ejecutar el archivo SYS.CHM.
Este archivo se vale de un fallo en el manejo de los archivos .CHM por parte del Internet Explorer. Es posible tratar a cualquier archivo local como un archivo CHM (ayuda compilada), sin serlo, si se utiliza una sintaxis especial. Esto puede ser explotado por programas como WinAmp, Flash Player, XMLHTTP, ADODB stream y otros, para ubicar y ejecutar archivos en el área de seguridad local.
SYS.CHM descarga de ese modo otro archivo llamado SYS.EXE, el cuál sobrescribe al Reproductor de Windows Media (WMPLAYER.EXE).
El archivo SYS.EXE (ahora como WMPLAYER.EXE), es ejecutado cada vez que el usuario intente usar el reproductor de Windows Media.
Este archivo (SYS.EXE) descarga otro archivo llamado NOT.EXE y lo guarda como ALPHA.EXE en el raíz de la unidad C: del disco duro. Finalmente lo ejecuta. La página estaba en el siguiente sitio:
http:/ /counter .spros .com
Adicionalmente, SYS.EXE (un troyano del tipo "downloader"), cambia las páginas de inicio y de búsqueda del Internet Explorer para que apunten al siguiente sitio:
www .google .com .super-fast-search .apsua .com
El archivo principal del gusano (ALPHA.EXE), es un ejecutable en el formato PE (Portable Executable), programado en Borland Delphi y comprimido con la herramienta ASPack.
Cuando se ejecuta, el gusano modifica la siguiente entrada en el registro:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Wh = [valor]
Si [valor] es [Yes], el gusano aguarda 5 horas antes de abrir una página web (de contenido pornográfico) en el siguiente sitio, utilizando el navegador que esté configurado por defecto:
pixpox .com
Luego, el gusano continúa abriendo dicho sitio cada 10 minutos durante al menos 10 intentos.
Si el registro no existe (la primera vez que se ejecuta el gusano), entonces lo crea y luego obtiene la configuración SMTP del usuario del propio registro. Localiza y abre la libreta de direcciones de Windows (WAB), para enviar a todos los contactos mensajes como el siguiente, utilizando su propio motor SMTP:
De: [dominio destinatario]
Para: [dirección destinatario]
Asunto: RE:
Texto del mensaje:
http:/ /drs.yahoo .com/[dominio destinatario]/NEWS
Por ejemplo, si la dirección es juan@mail.com, el mensaje podría ser el siguiente:
De: mail.com
Para: juan@mail.com
Asunto: RE:
Texto del mensaje:
http:/ /drs.yahoo .com/mail.com/NEWS
El gusano evita enviarse a las direcciones que contengan las siguientes cadenas:
+
admin
microsoft
postmaster
software
support
webmaster
Adicionalmente, el gusano envía un mensaje vacío a la siguiente dirección (esto permitiría obtener las direcciones de todas las máquinas infectadas, con la posible intención de realizar una base de datos para spammers):
1@600pics.cjb.net
Si la libreta de direcciones del usuario está vacía, se muestra un mensaje de error:
Alpha
OLE error 8004010F
[ OK ]
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Eliminación de procesos del virus en memoria
Utilización de la herramienta "Process Explorer"
Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.
2. Busque en la lista de procesos el que se llame "ALPHA.EXE".
3. Pulse el botón derecho sobre ese proceso, y en la misma ventana pulse en el botón "Kill Process" para matar este proceso.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Internet Explorer
\Main
3. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Wh
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cómo borrar archivos temporales de Windows
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Cómo borrar archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet pinche en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Pinche en Aceptar, etc.
Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Pinche en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Pinche en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Pinche en "Aceptar".
Seleccionar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".
Restaurar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Pinche en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).
5. Pinche en el botón "Reiniciar" (Reset).
6. Pinche en el botón "Configuración de Autosearch" (Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
Información adicional
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el siguiente artículo:
MS04-004 Actualización acumulativa para IE (832894)
http://www.vsantivirus.com/vulms04-004.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|