VSantivirus No. 1227 Año 8, Domingo 16 de noviembre de 2003
VSantivirus No. 1252 Año 8, Jueves 11 de diciembre de 2003
W32/Yaha.AF. Modifica archivos, elimina antivirus
http://www.vsantivirus.com/yaha-af.htm
Nombre: W32/Yaha.AF
Tipo: Gusano de Internet
Alias: W32.Yaha.AF@mm, W32/Yaha.y@MM, W32/Lentin.X, W32/Yaha.af@MM, W32/Yaha-Y, Win32.Yaha.Z, Win32/Yaha.AC.Worm, WORM_YAHA.AF, Win32/Yaha.AG
Fecha: 12/nov/03
Plataforma: Windows 32-bit
Tamaño: 58,880 bytes
Esta descripción está disponible en VSAntivirus desde el 16 de noviembre (VSA 1227). Sin embargo, debido a la atención de los medios, y al reporte de nuevas infecciones, ha sido descripto como una nueva versión por algunos fabricantes.
NOTA: Debido a la cantidad de variantes de este gusano, y al hecho de que cada antivirus ha examinado muestras en un orden diferente a como lo han hecho otras compañías, la denominación del virus varía entre fabricantes, por lo que esta descripción debe ser tomada solo como referencia.
Esta versión está basada en la W32/Yaha.U.
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system\exe32.exe
c:\windows\system\msmgr32.exe
También se copia como MSMGR32.EXE en las siguientes carpetas de inicio:
* Windows XP, 2000 (español e inglés)
C:\Documents and Settings
\All Users\Menú Inicio\Programas\Inicio
\All Users\Start Menu\Programs\Startup
\[nombre usuario]\Menú Inicio\Programas\Inicio
\[nombre usuario]\Start Menu\Programs\Startup
* Windows 95, 98, Me (español e inglés)
C:\WINDOWS
\All Users\Menú Inicio\Programas\Inicio
\All Users\Start Menu\Programs\Startup
\Menú Inicio\Programas\Inicio
\Start Menu\Programs\Startup
\Profiles\[nombre usuario]\Menú Inicio\Programas\Inicio
\Profiles\[nombre usuario]\Start Menu\Programs\Startup
NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", etc.).
Crea el siguiente archivo, que es un troyano capaz de robar todo lo ingresado por teclado:
\Cookies\anyuser@yahoo.com.txt
La carpeta COOKIES puede estar en cualquiera de estas ubicaciones, según el sistema:
C:\WINDOWS\Cookies
C:\WINDOWS\Profiles\[nombre de usuario]\Cookies
C:\Documents and Settings\Default User\Cookies
C:\Documents and Settings\LocalService\Cookies
C:\Documents and Settings\NetworkService\Cookies
C:\Documents and Settings\[nombre de usuario]\Cookies
El archivo es en realidad un .DLL renombrado, y no parece ejecutarse en todos los casos. Si funciona, la información capturada, es enviada a determinadas direcciones electrónicas.
Crea el archivo siguiente para almacenar las direcciones electrónicas obtenidas del sistema, para luego propagarse:
c:\windows\system\mss32.dll
Crea las siguientes ramas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MsManager = c:\windows\system\msmgr32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
MsManager = c:\windows\system\msmgr32.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MsManager = c:\windows\system\msmgr32.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
MsManager = c:\windows\system\msmgr32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RedWorm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Winver
HKEY_LOCAL_MACHINE\Winver
Modifica las siguientes ramas en el registro:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKCR\batfile\shell\open\command
(Predeterminado) = c:\windows\system\exe32.exe "%1" %*
HKCR\comfile\shell\open\command
(Predeterminado) = c:\windows\system\exe32.exe "%1" %*
HKCR\exefile\shell\open\command
(Predeterminado) = c:\windows\system\exe32.exe "%1" %*
HKCR\piffile\shell\open\command
(Predeterminado) = c:\windows\system\exe32.exe "%1" %*
HKCR\scrfile\shell\open\command
(Predeterminado) = c:\windows\system\exe32.exe "%1" %*
Borra las siguientes entradas del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syshelp
WinGate initialize
Module Call initialize
WinServices
WindowsMGM
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WinServices
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WindowsMGM
Borra los siguientes archivos si existen:
c:\windows\system\winservices.exe
c:\windows\system\nav32_loader.exe
c:\windows\system\tcpsvs32.exe
c:\windows\system\syshelp.exe
c:\windows\system\wingate.exe
c:\windows\system\winrpcsrv.exe
c:\windows\system\winmgm32.exe
c:\windows\sntmls.dat
Agrega un archivo HOSTS o LMHOSTS para bloquear el acceso a los siguientes sitios pertenecientes a conocidos antivirus:
www.avp.ch
www.ca.com
www.mcafee.com
www.microsoft.com
www.pandasoftware.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www3.ca.com
Impide se ejecuten las siguientes aplicaciones, intentando incluso borrar los ejecutables relacionados:
Winservices
TCPSVS32
NAV32_LOADER
WINGATE.EXE
SYSHELP.EXE
WINMGM32.EXE
WINK
Enumera todas las ventanas activas, y si alguna tiene cualquiera de los siguientes nombres, el gusano intenta terminar el proceso relacionado:
Windows Task Manager
System Configuration Utility
Registry Editor
Process Viewer
Enumera todas los procesos activos, y si alguno tiene cualquiera de los siguientes nombres, el gusano intenta terminarlo:
_AVP32
_AVP32.EXE
_AVPCC
_AVPCC
_AVPCC.EXE
_AVPM
_AVPM.EXE
AckWin32
AckWin32
ACKWIN32
AckWin32.exe
AckWin32.exe
ACKWIN32.EXE
ADVXDWIN
ADVXDWIN.EXE
agentw.exe
ALERTSVC
ALERTSVC.EXE
ALOGSERV
alogserv
ALOGSERV
alogserv.exe
ALOGSERV.EXE
AMON9X
AMON9X.EXE
ANTI-TROJAN
ANTI-TROJAN.EXE
ANTS
ANTS.EXE
APVXDWIN
apvxdwin
APVXDWIN.EXE
apvxdwin.exe
ATCON
ATCON.EXE
ATUPDATER
ATUPDATER.EXE
ATWATCH
ATWATCH.EXE
AUTODOWN
AutoDown
AUTODOWN
AUTODOWN.exe
AutoDown.exe
AUTODOWN.EXE
AutoTrace
AutoTrace.exe
AVCONSOL
AVCONSOL.EXE
AVGCC32
AVGCC32
AVGCC32.EXE
AVGCC32.EXE
AVGCTRL
Avgctrl
AVGCTRL.EXE
Avgctrl.exe
AvgServ
AVGSERV
AvgServ
AVGSERV
AVGSERV.EXE
AVGSERV.EXE
AVGSERV9
AVGSERV9.EXE
AVGW
AVGW.EXE
avkpop
avkpop.exe
AvkServ
AvkServ.exe
avkservice
avkservice.exe
avkwctl9
avkwctl9.exe
AVP
AVP.EXE
AVP32
AVP32.EXE
AVPCC
avpm
avpm
AVPM
avpm.exe
AVPM.EXE
Avsched32
Avsched32.exe
AvSynMgr
AVSYNMGR
AVSYNMGR
AvSynMgr
AVSYNMGR
AVSYNMGR.exe
AVWINNT
AVWINNT.EXE
AVXMONITOR9X
AVXMONITOR9X
AVXMONITOR9X.EXE
AVXMONITOR9X.EXE
AVXMONITORNT
AVXMONITORNT
AVXMONITORNT.EXE
AVXMONITORNT.EXE
AVXQUAR
AVXQUAR
AVXQUAR.EXE
AVXQUAR.EXE.EXE
AVXW
AVXW.EXE
blackd
BLACKD
blackd.exe
BLACKD.EXE
BlackICE
BlackICE.exe
CDP.EXE
cfgWiz
cfgWiz.exe
Claw95
Claw95
CLAW95
Claw95.exe
Claw95.exe
CLAW95.EXE
Claw95cf
CLAW95CF
Claw95cf.exe
CLAW95CF.EXE
cleaner
cleaner.EXE
cleaner3
cleaner3.EXE
CMGRDIAN
CMGrdian
CMGRDIAN
CMGRDIAN.EXE
CONNECTIONMONITOR
CONNECTIONMONITOR.EXE
CPD
cpd.exe
cpd.exe
CPDClnt
CPDCLNT.EXE
CPDClnt.exe
CTRL
CTRL.EXE
defalert
defalert.exe
defscangui
defscangui.exe
DEFWATCH
DEFWATCH.EXE
DOORS
DOORS
DOORS.EXE
DOORS.EXE
DVP95
DVP95.EXE
DVP95_0
DVP95_0.EXE
EFPEADM
EFPEADM
EFPEADM.exe
EFPEADM.EXE
ETRUSTCIPE
ETRUSTCIPE
ETRUSTCIPE.exe
ETRUSTCIPE.EXE
EVPN
EVPN
EVPN.exe
EVPN.EXE
EXPERT
EXPERT.EXE
F-AGNT95
F-AGNT95.EXE
fameh32
fameh32.exe
fch32
fch32.exe
fih32
fih32.exe
fnrb32
fnrb32.exe
F-PROT
F-PROT.EXE
F-PROT95
F-PROT95.EXE
FP-WIN
FP-WIN.EXE
FRW
FRW
FRW.EXE
FRW.EXE
fsaa
fsaa.exe
fsav32
fsav32.exe
fsgk32
fsgk32.exe
fsm32
fsm32.exe
fsma32
fsma32.exe
fsmb32
fsmb32.exe
f-stopw
F-STOPW
f-stopw.exe
F-STOPW.EXE
gbmenu
gbmenu.exe
GBPOLL
gbpoll
GBPOLL.EXE
gbpoll.exe
GENERICS
GENERICS.EXE
GUARD
GUARD
GUARD.EXE
GUARD.EXE
GUARDDOG
GUARDDOG.EXE
iamapp
IAMAPP
IAMAPP
iamapp.exe
IAMAPP.EXE
IAMAPP.EXE
iamserv
IAMSERV
iamserv.exe
IAMSERV.EXE
IAMSTATS
IAMSTATS.EXE
ICLOAD95
ICLOAD95.EXE
ICLOADNT
ICLOADNT
ICLOADNT.EXE
ICLOADNT.EXE
ICMON
ICMON.EXE
ICSUPP95
ICSUPP95
ICSUPP95.EXE
ICSUPP95.EXE
ICSUPPNT
ICSUPPNT.EXE
IFACE
IFACE.EXE
IOMON98
IOMON98
IOMON98.EXE
IOMON98.EXE
ISRV95
ISRV95.EXE
JEDI
JEDI.EXE
LDNETMON
LDNETMON.EXE
LDPROMENU
LDPROMENU.EXE
LDSCAN
LDSCAN.EXE
LOCKDOWN
LOCKDOWN.EXE
lockdown2000
LOCKDOWN2000
lockdown2000.exe
LOCKDOWN2000.EXE
LUALL
LUALL.EXE
LUCOMSERVER
LUCOMSERVER.EXE
LUSPT
LUSPT.exe
MCAGENT
MCAGENT.EXE
MCMNHDLR
MCMNHDLR.EXE
Mcshield.exe
MCTOOL
MCTOOL.EXE
MCUPDATE
MCUPDATE.EXE
MCVSRTE
MCVSRTE.EXE
MCVSSHLD
MCVSSHLD.EXE
MGAVRTCL
MGAVRTCL.EXE
MGAVRTE
MGAVRTE.EXE
MGHTML
MGHTML.EXE
MINILOG
MINILOG.EXE
Monitor
MONITOR
Monitor.exe
MONITOR.EXE
MOOLIVE
MOOLIVE.EXE
MPFAGENT.EXE
MPFSERVICE
MPFSERVICE.exe
MPFTRAY.EXE
MWATCH
MWATCH
MWATCH.exe
MWATCH.EXE
NAV Auto-Protect
NAV Auto-Protect
NAVAP
NAVAP
navapsvc
navapsvc
NAVAPSVC.EXE
navapsvc.exe
navapw32
NAVAPW32
NAVAPW32.EXE
NAVENGNAVEX15
NAVENGNAVEX15
NAVLU32
NAVLU32.EXE
Navw32
NAVW32
Navw32.exe
NAVWNT
NAVWNT.EXE
NDD32
NDD32.EXE
NeoWatchLog
NeoWatchLog.exe
NETUTILS
NETUTILS.EXE
NISSERV
NISSERV
NISSERV.EXE
NISSERV.EXE
NISSERV.EXE
NISUM
NISUM
NISUM.EXE
NISUM.EXE
NMAIN
NMAIN.EXE
NORMIST
NORMIST
NORMIST.EXE
NORMIST.EXE
notstart
notstart.exe
NPROTECT
NPROTECT.EXE
npscheck
npscheck.exe
NPSSVC
NPSSVC.EXE
NSCHED32
NSCHED32.EXE
ntrtscan
ntrtscan.EXE
NTVDM
NTVDM.EXE
NTXconfig
NTXconfig.exe
Nui.EXE
Nupgrade
Nupgrade.exe
NVC95
NVC95
NVC95.EXE
NVC95.EXE
NVSVC32
NVSVC32
NWService
NWService.exe
NWTOOL16
NWTOOL16.EXE
PADMIN
PADMIN.EXE
PAVPROXY
pavproxy
PAVPROXY.EXE
pavproxy.exe
PCCIOMON
PCCIOMON
PCCIOMON.EXE
PCCIOMON.EXE
pccntmon
pccntmon.EXE
pccwin97
pccwin97.EXE
PCCWIN98
PCCWIN98.EXE
pcscan
pcscan.EXE
PERSFW
PERSFW.EXE
PERSWF
PERSWF.EXE
POP3TRAP
POP3TRAP.EXE
POPROXY
POPROXY.EXE
PORTMONITOR
PORTMONITOR.EXE
PROCESSMONITOR
PROCESSMONITOR.EXE
PROGRAMAUDITOR
PROGRAMAUDITOR.EXE
PVIEW95
PVIEW95.EXE
rapapp.exe
RAV7
RAV7.EXE
RAV7WIN
RAV7WIN.EXE
REALMON
REALMON.EXE
Rescue
RESCUE
Rescue.exe
RESCUE.EXE
RTVSCN95
RTVSCN95.EXE
RULAUNCH
RULAUNCH.EXE
sbserv
sbserv.exe
SCAN32
SCAN32.EXE
SCRSCAN
SCRSCAN.EXE
Smc
SMC.EXE
Sphinx
SPHINX
Sphinx.exe
SPHINX.EXE
SPYXX
SPYXX.EXE
SS3EDIT
SS3EDIT.EXE
SWEEP95
SWEEP95.EXE
SweepNet
SweepNet
SWEEPSRV.SYS
SWEEPSRV.SYS
SWNETSUP
SWNETSUP.EXE
SymProxySvc
SymProxySvc.exe
SYMTRAY
SYMTRAY.EXE
TAUMON
TAUMON.EXE
TC.EXE
TCA
TCA.EXE
TCM
TCM.EXE
TDS-3
TDS-3.EXE
TFAK
TFAK.EXE
vbcmserv
vbcmserv
vbcmserv.exe
vbcmserv.exe
VbCons
VbCons
VbCons.exe
VbCons.exe
VET32
VET32
VET32.exe
VET32.EXE
Vet95
VET95
Vet95.exe
VET95.EXE
VetTray
VETTRAY
VetTray.exe
VETTRAY.EXE
VIR-HELP
VIR-HELP.EXE
VPC32
VPC32.EXE
VPTRAY
VPTRAY.EXE
VSCHED
VSCHED.EXE
VSECOMR
VSECOMR
VSECOMR.EXE
VSECOMR.EXE
vshwin32
VSHWIN32
VSHWIN32
VSHWIN32.EXE
VSMAIN
VSMAIN.EXE
vsmon
vsmon.exe
VSMON.EXE
VSSTAT
VSSTAT
VSSTAT.EXE
WATCHDOG
WATCHDOG.EXE
WEBSCANX
WEBSCANX
WEBSCANX.EXE
WEBTRAP
WEBTRAP.EXE
WGFE95
WGFE95.EXE
WIMMUN32
WIMMUN32.EXE
WrAdmin
WRADMIN
WRADMIN
WrAdmin.exe
WRADMIN.EXE
WRADMIN.EXE
WrCtrl
WRCTRL
WRCTRL
WrCtrl.exe
WRCTRL.EXE
zapro
zapro.exe
zonealarm
zonealarm.exe
WINSERVICES
TCPSVS32
NAV32_LOADER
WINGATE.EXE
SYSHELP.EXE
WINMGM32.EXE
WINK
AAAA
Examina la carpeta C:\WINDOWS\INETPUB\WWWROOT (si existe un servidor instalado en la máquina), y sobrescribe todos los archivos con extensión .HTM o .HTML con el siguiente contenido:
<BR><BR><BR><CENTER><B><U>
Ha..Ha..Haaa...</CENTER></U></B>
Examina todos los discos fijos y remotos, y todas las carpetas compartidas, e intenta en todos los casos las siguientes acciones:
1. Se copia en las siguientes carpetas:
\windows\mccp32.exe
\win98\mccp32.exe
\win95\mccp32.exe
\winnt\mccp32.exe
\winme\mccp32.exe
\winxp\mccp32.exe
2. Agrega la siguiente línea al archivo \WINDOWS\WIN.INI, bajo la entrada [WINDOWS]:
[windows]
run=mccp32.exe
Obtiene del registro la ubicación de la carpeta compartida del KaZaa, y si la encuentra, renombra con extensión .MP3, todos los archivos .COM, .EXE o .SCR, cuyos tamaños sean mayores o iguales al del gusano (58,880 bytes). Luego, se copia el mismo con el nombre del archivo original .COM, .EXE o .SCR.
El gusano agrega algunos bytes (ceros), al final de su copia, para quedar del mismo tamaño del archivo original.
Por ejemplo, si existe un archivo NOMBRE.EXE, lo copia como NOMBRE.MP3 y luego se copia él mismo como NOMBRE.EXE.
El gusano utiliza su propia rutina SMTP para enviarse a si mismo a todos los contactos de la libreta de direcciones, MSN Messenger, Yahoo Pager, ICQ Pager, así como a las direcciones encontradas en todos los archivos con extensiones .HT, .HTA, .HTM y .HTML.
Los mensajes poseen las siguientes características:
Versión 1:
Asunto: Fw: Critical Patches
Datos adjuntos: MS-Q3946.EXE
Texto:
Hi,
I got this mail from Microsot support. Atlast
Microsoft has got a comprehensive patch
for all the vulnerabilities. Once this patch is
applied, it takes care of all the recent virus
problems in Microsoft products.
Later....
Microsoft support wrote:
>Thanks for using Microsoft products. Recent
viruses have prompted micrsoft to issue patches
>to all its customers worldwide.
>
>We are including a comprehensive patch for all
windows platforms. This patch gives you
>comprehensive protection against all recent
viruses.
>
>Yours sincerely,
>Kelly
>Team Support
>Microsoft Inc
Versión 2:
Asunto: Hi check your computer with this!!!
Datos adjuntos: FixBlast.com
Texto:
Hi,
I am cutting and pasting the message i got from
symantec antivirus
I think the last mail you sent me was infected
with W32.Blaster.
Rgds
Dear customer,
We are enclosing Fix for both Welcha and Blaster
worms as per your request.
Step by Step Instructions for Cleaning
W32.Blaster/W32.Welcha Worms:
1. Save the file to a convenient location, such as
your downloads folder or the Windows Desktop
2. To check the authenticity of the digital
signature, refer to the section, "Digital
signature."
3. Close all the running programs before running
the tool.
4. If you are running Windows XP, then disable
System Restore.
Refer to the section, "System Restore option in
indows Me/XP," for additional details.
In case of any clarifications please do not
hesitate to contact us.
Best Regards,
Neil Thomas
Symantec Support
Versión 3:
Asunto: Your previous message is infected
Datos adjuntos: FixBlast.com
Texto:
Hi,
Your previous mail to me is infected with Blaster.
I am attaching the tool i got from symantec site
please clean your machine with the same.
Best Rgds,
Versión 4:
Asunto: Fix for New Worm Threat
Datos adjuntos: FixBlastz.com
Texto:
Hi,
I got this mail from Mcafee Antivirus Support.
There is a new variant of W32.Blaster worm.
I got a special fix today in the early hours,
please check your machine with the attached tool.
I have also cut and pasted the steps for cleaning.
Rgds
Dear customer,
We are enclosing Fix for W32.Blaster.Z as per your
request.
Step by Step Instructions for Cleaning
W32.Blaster.Z
1. Save the file to a convenient location, such as
your downloads folder or the Windows Desktop
2. To check the authenticity of the digital
signature, refer to the section, "Digital
signature."
3. Close all the running programs before running
the tool.
4. If you are running Windows XP, then disable
System Restore.
Refer to the section, "System Restore option in
Windows Me/XP," for additional details.
In case of any clarifications please do not
hesitate to contact us.
Best Regards,
Jerry Nelson
McAfee Support
Versión 5:
De: Microsoft Support <support@microsoft.com>
Asunto: Critical Updates
Datos adjuntos: MS-Q3526.com
Texto:
Dear Customer,
Thanks for using Microsoft products. Recent
viruses have prompted micrsoft to issue patches
to all its customers worldwide.
We are including a comprehensive patch for all
windows platforms. This patch gives you
comprehensive protection against all recent
viruses.
Yours sincerely,
JimThompson
Team Support
Microsoft Inc
person who registers
with us through your account, we will pay you
$1.5.Once your account reaches the limit of $50,
your payment will be send to your registration
address by check or draft.
Please note that the registration process is
completely free which means by participating in
this program you will only gain without loosing
anything.
Best Regards,
Admin,
Versión 6:
De: Symantec Support <support@symantec.com>
Asunto: Fix for W32.Blaster/Welcha
Datos adjuntos: FixBlast.com
Texto:
Dear customer,
We are enclosing Fix for both Welcha and Blaster
worms as per your request.
Step by Step Instructions for Cleaning
W32.Blaster/W32.Welcha Worms:
1. Save the file to a convenient location, such as
your downloads folder or the Windows Desktop
(or removable media that is known to be
uninfected, if possible).
2. To check the authenticity of the digital
signature, refer to the section, "Digital
signature."
3. Close all the running programs before running
the tool.
4. If you are running Windows XP, then disable
System Restore.
Refer to the section, "System Restore option in
Windows Me/XP," for additional details.
In case of any clarifications please do not
hesitate to contact us.
Best Regards,
Neil Thomas
Symantec Support
Versión 7:
De: Mcafee Support <support@nai.com>
Asunto: Fix for the latest W32/Blaster.Z
Datos adjuntos: Fixblastz.com
Texto:
Dear customer,
We are enclosing Fix for W32.Blaster.Z as per your
request.
Step by Step Instructions for Cleaning
W32.Blaster.Z
1. Save the file to a convenient location, such as
your downloads folder or the Windows Desktop
(or removable media that is known to be
uninfected, if possible).
2. To check the authenticity of the digital
signature, refer to the section, "Digital
signature."
3. Close all the running programs before running
the tool.
4. If you are running Windows XP, then disable
System Restore.
Refer to the section, "System Restore option in
Windows Me/XP," for additional details.
In case of any clarifications please do not
hesitate to contact us.
Best Regards,
Jerry Nelson
McAfee Support
Versión 8:
De: Microsoft Support <support@microsoft.com>
Asunto: Critical Patches
Datos adjuntos: MS-Q31338.ZIP
Texto:
Dear Customer,
Thanks for using Microsoft products. Recent
viruses have prompted micrsoft to issue patches
to all its customers worldwide.
We are including a comprehensive patch for all
windows platforms. This patch gives you
comprehensive protection against all recent
viruses.
Yours sincerely,.
JimThompson
Team Support
Microsoft Inc
Versión 9:
De: System Administrator <admin@kpmg.com.com>
Asunto: Fix for recent viruses
Datos adjuntos: FIXES.ZIP
Texto:
Hi All,
I am sending these fixes to the recent viruses
which have been making rounds in the IT world.
I request you to install the same in your systems
and pass it to others.
Yours sincerely,
James
System Administrator
KPMG
Versión 10:
De: HRD Consultants <hr@consultants.com>
Asunto: Your details
Datos adjuntos: Requirement.zip
Texto:
Hi,
We have your email id in our database. We have
enclosed our requirements.
Expecting your reply at the earliest.
Kind Rgds,
James Martin
Versión 11:
De: Symantec Support <support@symantec.com>
Asunto: Fix for W32.Blaster/W32.Welcha
Datos adjuntos: FixBlast.zip
Texto:
Dear customer,
We are enclosing Fix for both Welcha and Blaster
worms as per your request.
Step by Step Instructions for Cleaning
W32.Blaster/W32.Welcha Worms:
1. Save the file to a convenient location, such as
your downloads folder or the Windows Desktop
(or removable media that is known to be
uninfected, if possible). Extract from the zip
file.
2. To check the authenticity of the digital
signature, refer to the section, "Digital
signature"
3. Close all the running programs before running
the tool.
4. If you are running Windows XP, then disable
System Restore.
Refer to the section, "System Restore option in
Windows Me/XP," for additional details.
In case of any clarifications please do not
hesitate to contact us.
Best Regards,
Keith Johnson
Symantec Support
Versión 12:
De: McAfee Support <support@mcafee.com>
Asunto: Fix for latest W32.Blaster.Zworm
Datos adjuntos: FixBlastz.zip
Texto:
Dear customer,
We are enclosing Fix for W32.Blaster.Z as per your
request.
Step by Step Instructions for Cleaning
W32.Blaster.Z
1. Save the file to a convenient location, such as
your downloads folder or the Windows Desktop
(or removable media that is known to be
uninfected, if possible).
2. To check the authenticity of the digital
signature, refer to the section, "Digital
signature"
3. Close all the running programs before running
the tool.
4. If you are running Windows XP, then disable
System Restore.
Refer to the section, "System Restore option in
indows Me/XP," for additional details.
In case of any clarifications please do not
hesitate to contact us.
Best Regards,
Richard
McAfee Support
Versión 13:
De: Support eEye <support@eeye.com>
Asunto: Microsoft RPC still vulnerable - Latest worm
Datos adjuntos: RPCDCOM.ZIP
Texto:
Microsoft RPC Heap Corruption Vulnerability - Part II
Severity:
High (Remote Code Execution).
Description:
eEye Digital Security has discovered a critical
remote vulnerability in the way Microsoft
Windows handles certain RPC requests.The RPC
(Remote Procedure Call) protocol provides
an inter-process communication mechanism allowing
a program running on one computer to execute code
on a remote system. '
The vulnerability exists within the DCOM
(Distributed Component Object Model) RPC
interface. This interface handles
DCOM object activation requests sent by client
machines to the server. By sending a malformed
request packet it is possible to overwrite various
heap structures and allow the execution of
arbitrary code.
Please install the attached patch immediately.
Versión 14:
Asunto: Details.
Datos adjuntos: details.pif
Texto:
Hi,
See the attached file for details.
Rgds
Versión 15:
Asunto: Thank you
Datos adjuntos: thankyou.zip
Texto:
Please see the attached file for details
Rgds
Versión 16:
Asunto: Your document
Datos adjuntos: your_documents.zip
Texto:
See the attached file for your documents
Rgds
Versión 17:
Asunto: Your application
Datos adjuntos: application.zip
Texto:
Please see the attached file for applicaion
details.
Rgds
Versión 18:
Asunto: Wicked Screen Saver
Datos adjuntos: wickedsaver.zip
Texto:
Hi,
This is the most wicked screen saver i have ever
seen.Enjoy!!!'
Rgds
Versión 19:
Asunto: Naughty Movie Clip
Datos adjuntos: movie3498.zip
Texto:
Hi,
This is an interesting movie clip. You will enjoy
it.
Rgds
Versión 20:
Asunto: Hi check your computer with this!!!
Datos adjuntos: FixBlast.zip
Texto:
Hi,
I am cutting and pasting the message i got from
symantec antivirus I think the last mail you sent
me was infected with W32.Blaster.
Bye
Dear customer,
We are enclosing Fix for both Welcha and Blaster
worms as per your request.
Step by Step Instructions for Cleaning
W32.Blaster/W32.Welcha Worms:
1. Save the file to a convenient location, such as
your downloads folder or the Windows Desktop
2. To check the authenticity of the digital
signature, refer to the section, "Digital
signature."
3. Close all the running programs before running
the tool.
4. If you are running Windows XP, then disable
System Restore.
In case of any clarifications please do not
hesitate to contact us.
Best Regards,
Neil Thomas
Symantec Support
Versión 21:
Asunto: I got an infected mail from you
Datos adjuntos: FixBlast.zip
Texto:
Hi,
Your previous mail to me is infected with Blaster.
I am attaching the tool i got from symantec site
please clean your machine with the same.
Best Rgds,
Versión 22:
Asunto: Fix for New Worm Threat.
Datos adjuntos: FixBlastz.zip
Texto:
Hi,
I got this mail from Mcafee Antivirus Support.
There is a new variant of W32.Blaster worm.
I got a special fix today in the early hours,
please check your machine with the attached tool.
I have also cut and pasted the steps for cleaning.
Rgds
Para dificultar el seguimiento del usuario infectado, el gusano utiliza direcciones de reenvío falsas:
rly-xa04.mx.aol.com
mx.aol.com
y-xa04.mx.aol.com
El gusano puede realizar ataques de denegación de servicio (DoS) a sitios al azar y también predeterminados, en los puertos 135, 139, y 445.
Algunos de los sitios predeterminados:
pakrail.com
paic.com.pk
jamaat.org
kse.net.pk
pak.gov.pk
Reparación manual
Debido a la naturaleza destructiva del gusano, probablemente deberá recuperar archivos borrados de un respaldo anterior, o reinstalar Windows, si la infección se produce. Esta información debe tomarse solo como referencia:
Preparación previa
Descargue el siguiente archivo (repara2.reg):
http://www.videosoft.net.uy/repara2.reg
Finalizar el proceso en memoria del virus
Windows 95, 98, Me, XP
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Editar el registro, en todos sus discos duros o computadoras en red
Haga doble clic sobre el archivo REPARA2.REG descargado antes (ver "Preparación previa"), para agregar su contenido al registro.
Editar el archivo WIN.INI, en todos sus discos duros o computadoras en red
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run=mccp32.exe
Debe quedar como:
[windows]
run=
3. Grabe los cambios y salga del bloc de notas.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
1. Desde el Explorador de Windows, localice y borre los siguientes archivos, en todos sus discos duros o computadoras en red:
c:\windows\system\exe32.exe
c:\windows\system\msmgr32.exe
c:\windows\system\mss32.dll
2. Desde el Explorador de Windows, localice y borre el archivo MSMGR32.EXE de las siguientes posibles carpetas, en todos sus discos duros o computadoras en red (según el sistema):
* Windows XP, 2000 (español e inglés)
C:\Documents and Settings
\All Users\Menú Inicio\Programas\Inicio
\All Users\Start Menu\Programs\Startup
\[nombre usuario]\Menú Inicio\Programas\Inicio
\[nombre usuario]\Start Menu\Programs\Startup
* Windows 95, 98, Me (español e inglés)
C:\WINDOWS
\All Users\Menú Inicio\Programas\Inicio
\All Users\Start Menu\Programs\Startup
\Menú Inicio\Programas\Inicio
\Start Menu\Programs\Startup
\Profiles\[nombre usuario]\Menú Inicio\Programas\Inicio
\Profiles\[nombre usuario]\Start Menu\Programs\Startup
3. Desde el Explorador de Windows, localice y borre el archivo ANYUSER@YAHOO.COM.TXT de las siguientes posibles carpetas, en todos sus discos duros o computadoras en red (según el sistema):
C:\WINDOWS\Cookies
C:\WINDOWS\Profiles\[nombre de usuario]\Cookies
C:\Documents and Settings\Default User\Cookies
C:\Documents and Settings\LocalService\Cookies
C:\Documents and Settings\NetworkService\Cookies
C:\Documents and Settings\[nombre de usuario]\Cookies
4. Desde el Explorador de Windows, localice y borre los siguientes archivos, donde [XX] representa todos los discos fijos y remotos, y todas las carpetas compartidas:
[XX]\windows\mccp32.exe
[XX]\win98\mccp32.exe
[XX]\win95\mccp32.exe
[XX]\winnt\mccp32.exe
[XX]\winme\mccp32.exe
[XX]\winxp\mccp32.exe
5. Borre el archivo HOSTS y LMHOST, en todos sus discos duros o computadoras en red:
c:\windows\hosts
c:\windows\lmhosts
c:\windows\system32\drivers\etc\hosts
c:\windows\system32\drivers\etc\lmhosts
HOSTS y LMHOSTS son archivos en formato texto, sin extensión, ubicados en windows o windows\system32\drivers\etc, dependiendo de la versión de Windows. Dichos archivos son usados por el sistema operativo para asociar nombres de dominio con direcciones IP (LMHOST para nombres NetBIOS). Si estos archivos existen, el sistema los examina antes de hacer una consulta a un servidor DNS. Estos archivos normalmente no son utilizados en una instalación doméstica. En caso contrario, confirme con el administrador de su red si los mismos son necesarios, y de lo contrario bórrelos.
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
7. Borre también los mensajes electrónicos similares a los descriptos antes.
Si no se realiza cuidadosamente este procedimiento de limpieza, el gusano puede volver a modificar ciertos archivos, o incluso el registro. Si es necesario, reitere los mismos pasos luego de completar la primera limpieza.
Información adicional
Reinstalar páginas servidor Web
Si tiene instalado un servidor Web en C:\INETPUB\WWWROOT\, (o C:\WINDOWS\INETPUB\WWWROOT\), deberá reinstalar o recuperar de un respaldo limpio las páginas sobrescritas por el troyano.
Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el siguiente artículo:
http://www.vsantivirus.com/vulms03-048.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
10/dic/03 - Se amplía la descripción original.
10/dic/03 - Alias: W32/Lentin.X, W32/Yaha.af@MM, W32/Yaha-Y
10/dic/03 - Alias: Win32.Yaha.Z, Win32/Yaha.AC.Worm
10/dic/03 - Alias: WORM_YAHA.AF, Win32/Yaha.AG
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|