VSantivirus No. 1035, Año 7, Jueves 8 de mayo de 2003
W32/Winur.C. Se propaga por P2P, revela archivos privados
http://www.vsantivirus.com/winur-c.htm
Nombre: W32/Winur.C
Tipo: Gusano de Internet (P2P)
Alias: Winur.C, W32/P2P.Winur.C, Win32.Winur, W32/Banuris.A, Worm.P2P.Banuris.A, W32/Winur.worm.C
Fecha: 6/may/03
Plataforma: Windows 32-bit
Tamaño: 42,833 bytes
Este gusano, escrito en Visual Basic 5, se propaga a través de las redes de intercambio de archivos tipo P2P, y realiza ataques de denegación de servicio (D.o.S) contra la página de Internet "whitepower.org". Además borra conocidos programas antivirus que estuvieran instalados en el sistema.
Cuando se ejecuta, el gusano copia además varios archivos personales del usuario de la computadora infectada (de las ubicaciones que se dan a continuación), a las carpetas compartidas de los programas de intercambio de archivos. De ese modo compromete la privacidad del usuario infectado, ya que sus archivos estarán al alcance de otras personas:
- Todos los archivos de la carpeta "Mis Documentos"
- Archivos con extensión .DOC o .RTF del directorio
"TEMP"
- Archivos con extensión .INI o .PWL del directorio
"TEMP"
- Archivos del directorio actual
- Archivos de las siguientes carpetas:
My Documents\My Chat Logs\
C:\Windows\Temporary Internet Files\
C:\My Documents\
C:\mij documenten\
El gusano no muestra ningún mensaje mientras se ejecuta, pero crea el siguiente archivo (README.TXT), con el siguiente contenido:
REM~~~~®Migl~~~~~~~
REM First WinMX Spreading Worm
Luego, crea los siguientes archivos (copias del propio gusano) en el directorio de Windows:
hwinforXX.com (las "XX" son dos letras o números al azar)
lorupscr.scr
winstart32.exe
temp\messenger plus!- setup.exe
También borra todos los archivos de cualquiera de las siguientes carpetas (todas de conocidos antivirus):
C:\Program Files\eSafe\Protect
C:\Program Files\McAfee\VirusScan
C:\Program Files\Norton
C:\Program Files\Acceleration Software\Anti-virus
C:\Program Files\F-prot
C:\Program Files\Mcafee
C:\Program Files\Kaspersky Lab
C:\Program Files\Avpersonal
C:\Program Files\Bullguard
Además, crea las siguientes claves en el registro, para que se ejecute el protector de pantallas "LORUPSRC.SRC", creado por el gusano:
HKCU\Control Panel\Desktop
ScreenSaverTimeOut = 300
ScrnSAVE.EXE = C:\Windows\lorupscr.scr
ScreenSaveActive = 1
Crea una clave para usarla como indicador de infección:
HKCU\Software\lorup
done = TRUE
Luego convierte el directorio de Windows\MyShares en carpeta compartida de algunas de las utilidades P2P más populares (KaZaa, Grokster, iMesh):
HKU\.Default\Software\Kazaa\LocalContent
HKU\.Default\Software\Kazaa Lite\LocalContent
HKU\.Default\Software\Grokster\LocalContent
HKU\.Default\Software\Grokster lite\LocalContent
HKU\.Default\Software\iMesh\LocalContent
HKU\.Default\Software\iMesh lite\LocalContent
Además, crea una gran cantidad de archivos, todos copias del propio gusano, pero con diferentes nombres, en las siguientes carpetas, que son las compartidas por defecto por los programas P2P más usados:
C:\Windows\Myshares
C:\Program Files\Icq\Shared Files
C:\Program Files\Bearshare\Shared
C:\Program Files\Morpheus\My Shared Folder
C:\Program Files\Edonkey2000\Incoming
C:\Program Files\Gnucleus\Downloads
C:\Program Files\Gnucleus\Downloads\ Incoming
C:\Program Files\Kazaa\My Shared Folder
C:\Program Files\Kazaa Lite\My Shared Folder
C:\Program Files\Limewire\Shared
Esta es la lista de programas copiados:
adobe 6 full (iso) .exe
adobe 6.0 .exe
adobe 6.0 crack .exe
adobe 6.0 full .exe
adobe crack .exe
adobe photoshop .exe
adobe photoshop 6 ultimate study guide .exe
adobe photoshop 6.0 .exe
adult movie .exe
adult(hardcore sex movie xxx)movie .exe
age of empires 2 crack .exe
age of empires 2 crack .exe
age of mythology crack .exe
age of mythology crack nocd .exe
aim hacker .exe
all cliff notes (cliff's) .exe
all microsoft product license cracker! ( windows me[...]
american conquest crack .exe
american conquest crack nocd.exe
ana kournikova sex video .exe
anal sex nude bitch whore .exe
anastasia anal.jpg .exe
anastasia naked.jpg .exe
anastasia nude.jpg .exe
anno 1503 crack .exe
anno 1503 crack nocd.exe
anonymous email .exe
ansi c ultimate study guide .exe
c++ ultimate study guide .exe
cable cracker .exe
cable modem anonymizer .exe
cable uncapper .exe
car tycoon crack .exe
catch me if you can (dvd) .exe
catherine zeta jones naked.jpg .exe
catherine zeta jones nude.jpg .exe
chasey lane adult porn movie (mov) 18+ .exe
christina aguilera adult movie .exe
christina aguilera having sex(mov) .exe
christina aguilera movie .exe
christina aguilera nude wallpaper (xxx lesbian) .exe
christina aguilera sucks cock .exe
cky 1 .exe
cky 2 .exe
cky 3 .exe
cky 4 .exe
clonecd .exe
clonecd + crack .exe
clonecd all-versions key generator .exe
clonecd crack (all versions).exe
clonecd keygen .exe
combat mission 2 crack .exe
conflict desert storm crack .exe
cossacks - back to war- crack .exe
crack passwords email .exe
cristina aguilera sex video .exe
davideo 2 crack .exe
divx codec v6.0 .exe
hotmail hacker .exe
icq hacker password hacker .exe
jackass - never shown part .exe
jackass - steve o crocodile .exe
jackass - the movie (mpeg) .exe
jackass game (be jackass!!) .exe
jamai ( idols !!!) .exe
jenifer lopez sex video .exe
kate winslet adult movie .exe
katja schuurman having sex .exe
katja schuurman nude .exe
katja schuurman nude movie .exe
kazaa media desktop v4.0 unofficial .exe
kazaa spyware remover .exe
key generator for all windows xp versions .exe
key generator for over 1,000 applications (really!) .exe
keylogger v1.0 .exe
leonardo di caprio .exe
live update crack .exe
liveupdate crack .exe
liveupdate crack(4 ever!) .exe
lord of the ring - the two towers - crack .exe
lord of the rings - the fellowship of the ring- crack .exe
lord of the rings - ttt - crack .exe
lord of the rings crack nocd .exe
lord of the rings game .exe
macromedia dreamweaver mx key generator .exe
macromedia flash mx key generator .exe
macromedia mx key generator (all products) .exe
mafia crack .exe
magix crack .exe
magix music maker crack nocd .exe
magix music maker 7 crack nocd .exe
magix music maker 8 crack nocd .exe
matrix movie .exe
mature housewife getting fucked 0 .exe
max payne crack .exe
mcafee antivirus 2003 crack .exe
mcafee antivirus scan crack .exe
medieval - total war - crack .exe
medieval - total war - crack nocd .exe
microangelo crack .exe
microsoft key generator, works for all microsoft products!! .exe
norton antivirus crack nocd .exe
norton anvirus key crack .exe
nude poser (sex cock) .exe
office xp crack .exe
office xp keygen .exe
pamela anderson adult movie .exe
pamela anderson and tommy lee hardcore holiday movie .exe
pamela anderson deepthroat .exe
pamela anderson gets fucked .exe
pamela anderson naked.jpg .exe
pamela anderson nude.jpg .exe
panda antivirus titanium crack .exe
password stealer .exe
pokemon flash game .exe
porn account cracker.zip .exe
porn account hacker.zip .exe
ps2 playstation simulator .exe
quake 4 beta.exe
quick time key crack .exe
.exe red alert (all versions!) crack
red alert 2 crack .exe
red alert crack .exe
robin hood crack .exe
robin hood -legend of sherwood- crack .exe
robin hood -legend of sherwood- crack nocd .exe
rollercoaster tycoon 1 crack .exe
rollercoaster tycoon 2 crack .exe
rttcw crack(nocd) .exe
virus maker.exe
virusscanner.exe
voyeur movie.exe
warcraft 3 battle.net serial generator .exe
warcraft 3 crack.exe
warcraft 3 online key generator.exe
website defacer ( deface websites !) .exe
winamp.exe
windows 98 crack.exe
windows 98 keygen.exe
windows me crack.exe
windows me keygen.exe
windows nt crack.exe
windows nt keygen.exe
windows xp crack.exe
windows xp key generator .exe
windows xp keygen.exe
windows xp serial generator.exe
winrar + crack.exe
winzip 8.0 + serial .exe
wolfenstein return to the castle crack .exe
world war 3 crack .exe
ws_ftp .exe
xbox emulator (works!!) .exe
xbox info.exe
zonealarm firewall pro.exe
El gusano comprueba además, la presencia del archivo "LIBRARY.DAT" en las siguientes carpetas:
c:\program files\winmx\library.dat
c:\programme\winmx\library.dat
Si existe, no se propaga a través del Winmx (otro programa P2P).
Reparación manual
Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKCU\Control Panel\Desktop
3. Pinche en la carpeta "Desktop" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
ScreenSaverTimeOut
ScrnSAVE.EXE
ScreenSaveActive
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKCU\Software\lorup
5. Pinche en la carpeta "lorup" y bórrela.
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKU\.Default\Software\Kazaa\LocalContent
HKU\.Default\Software\Kazaa Lite\LocalContent
HKU\.Default\Software\Grokster\LocalContent
HKU\.Default\Software\Grokster lite\LocalContent
HKU\.Default\Software\iMesh\LocalContent
HKU\.Default\Software\iMesh lite\LocalContent
7. Pinche en la carpeta "LocalContent" y bórrela en cada caso
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|