VSantivirus No. 1168 Año 7, Jueves 18 de setiembre de 2003
W32/Yaha.W. Modifica archivos, elimina antivirus
http://www.vsantivirus.com/yaha-w.htm
Nombre: W32/Yaha.W
Tipo: Gusano de Internet
Alias: WORM_YAHA.W, Yaha.T, I-Worm.Lentin.R, W32/Lentin.T@mm, Lentin.R, Yaha, Lentin, I-Worm.Lentis.gen
Fecha: 16/set/03
Plataforma: Windows 32-bit
Tamaño: 60,688 bytes
Gusano de Internet programado en Visual C++ y comprimido con la utilidad ASPack, que se propaga a través del correo electrónico a todos los contactos de la libreta de direcciones de Windows (WAB, Windows Address Book), lista de contactos de MSN Messenger y Yahoo Pager, así como a direcciones extractadas de archivos temporales y del caché de Internet (archivos HTM, HTML y HTA).
Se propaga también a través de redes locales, y puede modificar páginas HTML de un servidor Web si éste se encuentra instalado en la computadora infectada.
Debido a la cantidad de variantes de este gusano, y al hecho de que cada antivirus ha examinado muestras en un orden diferente a como lo han hecho otras compañías, la denominación del virus varía entre fabricantes, causando confusión entre los usuarios.
Esta descripción por lo tanto solo sirve como referencia.
El gusano utiliza su propio motor SMTP de modo que puede enviarse en mensajes infectados, sin necesidad de utilizar las facilidades de programas como Outlook, etc.
Puede finalizar procesos específicos relacionados con conocidos antivirus y cortafuegos.
También puede provocar ataques de denegación de servicio (DoS), a determinadas direcciones fijas, incluidas directamente en su código.
Es capaz de infectar al solo leer o ver en la vista previa el mensaje que lo contenga, en aquellos sistemas que no han sido actualizados con los parches correspondientes (vulnerabilidad "Exploit IFRAME"). Esto incluye Internet Explorer 5.0 y anteriores –- no soportados por Microsoft —- e Internet Explorer 5.01 a 5.5 sin parches.
Vea al final del artículo: "Actualizar Internet Explorer"
Se propaga en mensajes creados de la siguiente manera:
El campo "De:" puede ser falsificado por el gusano, de modo que rara vez indica la dirección verdadera del usuario infectado que lo envía. Algunas de las posibles combinaciones:
De: [nombre][dirección]
Donde [nombre] puede ser:
admin@hackers.com
admin@hackersclub.com
admin@viruswriters.com
American Beauty
Benting
britneyspears.org
Cathy Kindergarten
Clark Steel
Club Jenna
Codeproject
Hardcore Screensavers
Iori Yagami
Jasmine Stevens
Jaucques Antonio Barkinstein
Jenna Jameson
Jericho
John Vandervochich
Jonathan
Keanu Stevenson
Klein Anderson
KOF Online
Kyo Kusanagi
Love Inc.
Lovers Screensavers
McAfee Inc.
Nicolas Schwarzeneggar
Nomadic Screensavers
Noopman
Norton Antivirus
Omega Rugal
Paul Owen
Playboy Inc.
Plus 2
Plus 6
Ralph Jones
Raveena Pusanova
Real Inc.
Rocking Stone
Romantic Screensavers
Romeo & Juliet
Ross Anderson
Screensavers of Love
Sexy Screensavers
SQL Library
Super Soccer
Terry Bogard
The Rock
Trend Micro
Valentine Screensavers
Veronica Anderson
XXX Screensavers
Zdenka Podkapova
zporNstarS
Y [dirección] puede ser una de las siguientes:
admin@clubjenna.com
admin@codeproject2.com
admin@hackers2.com
admin@hackersclub2.com
admin@kofonline2.com
admin@viruswriters.com
admin@zpornstars.com
av_patch@mcafee.com
av_patch@norton.com
av_patch@trendmicro.com
btq@2632.com
caijob@online.sh.cn
cathy@21cn.com
cupid@freescreensavers.com
DNA_seraph@163.com
ericpan@online.com.pk
free@hardcorescreensavers.com
free@sexyscreensavers.com
free@sql.library.com
free@xxxscreensavers.com
hamada@seikosangyo.com
jenna@jennajameson.com
kkn@k2k.comscreensavers@nomadic.com
kl@aminoprojects.com
love@lovescreensavers.com
loverscreensavers@love.com
lubing@7135.com
luoairong@21cn.com
marketing@suppersoccer.com
me@me2K.com
newsletters@britneyspears.org
nics@noma.com
paul@kqscore2.com
plus@real.com
ravs@go2pussy.com
romanticscreensavers@love.com
sales@playboy.com
sales@real.com
samsun@online.sh.cn
screensavers@lovers.com
services@tcsonline2.com
stone@esterplaza.com
super@21cn.com
therock@wwe.com
valentinescreensavers@t2k.com
yjworks@online.sh.cn
zdenka@zpornstars.com
zhouyuye@citiz.net
Uno de los siguientes "Asuntos":
Are you a Soccer Fan ?
Are you beautiful
Are you the BEST
Check it out
Demo KOF 2002
Feel the fragrance of Love
Freak Out
Free Demo Game
Free rAVs Screensavers
Free Screenavers of Love
Free Screensavers
Free Screensavers
Free Screensavers 4 U
Free Screensavers 4 U
Free Win32 API source
Free XXX
Hardcore Screensavers 4 U
I Love You..
Jenna 4 U
Learn SQL 4 Free
Lovers Corner
Need money ??
One Hacker's Love
One Virus Writer's Story
Patch for Elkern.gen
Patch for Klez.H
Play KOF 2002 4 Free
Project
Sample KOF 2002
Sample Playboy
Sample Screensavers
Screensavers from Club Jenna
Sexy Screensavers 4 U
The King of KOF
Things to note
Visit us
Wanna be a HE-MAN
Wanna be friends ?
Wanna be friends ??
Wanna be friends ??
Wanna be friends ??
Wanna be like a stone ?
Wanna be my sweetheart ??
Wanna Brawl ??
Wanna Hack ??
Wanna Rumble ??
We want peace
Whats up
Who is your Valentine
World Tour
WWE Screensavers
XXX Screensavers
XXX Screensavers 4 U
Como datos adjuntos, esta es una lista de posibles nombres de archivos que el gusano incluye en su código:
Beautifull.scr
Body_Building.scr
Britney_Sample.scr
Codeproject.scr
Cupid.scr
FixElkern.com
FixKlez.com
FreakOut.exe
Free_Love_Screensavers.scr
Hacker.scr
Hacker_The_LoveStory.scr
Hardcore4Free.scr
I_Love_You.scr
Jenna_Jemson.scr
King_of_Figthers.exe
KOF.exe
KOF_Demo.exe
KOF_Fighting.exe
KOF_Sample.exe
KOF_The_Game.exe
KOF2002.exe
Love.scr
My_Sexy_Pic.scr
MyPic.scr
MyPic.scr
MyProfile.scr
Notes.exe
Peace.scr
Playboy.scr
Plus2.scr
Plus6.scr
Project.exe
Ravs.scr
Real.scr
Romantic.scr
Romeo_Juliet.scr
Screensavers.scr
Services.scr
Sex.scrSoccer.scr
Sexy_Jenna.scr
SQL_4_Free.scr
Stone.scr
Sweetheart.scr
The_Best.scr
THEROCK.scr
up_life.scr
Valentines_Day.scr
VXer_The_LoveStory.scr
Ways_To_Earn_Money.exe
World_Tour.scr
xxx4Free.scr
zDenka.scr
zXXX_BROWSER.exe
Como texto del mensaje, alguno de los siguientes:
-----------------------------------------------------------
Variante 1:
Hello,
The attached product is send as a part of our official
campaign for the popularity of our product.You have
been chosen to try a free fully functional sample of
ourproduct.If you are satified then you can send it to
your friends.All you have to do is to install the
software and register an accountwith us using the
links provided in the software. Then send this
software to your friends using your account ID and for
each person who registerswith us through your account,
we will pay you $1.5.Once your account reaches the
limit of $50, your payment will be send to your
registration address bycheck or draft.
Please note that the registration process is
completely free which meansby participating in this
program you will only gain without loosing anything.
Best Regards,
Admin,
-----------------------------------------------------------
Variante 2:
Klez.H is the most common world-wide spreading
worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus
technic,most common AV software can't detect or clean
it.
We developed this free immunity tool to defeat the
malicious virus.
You only need to run this tool once,and then Klez will
never come into your PC
-----------------------------------------------------------
Variante 3:
Hello,
Looking for some Hardcore mind boggling action ?
Install the attached browser software and browse
across millions of paid hardcore sex sites for
free.Using the software you can safely and easily
browse across most of the hardcore XXX paid sites
across the internet for free. Using it you can also
clean all traces of your web browsing from your
computer.
Note:The attached browser software is made
exclusivley for demo only. You can use the software
for a limitedtime of 35 days after which you have
to register itat our official website for its
furthur use.
Regards,
Admin.
-----------------------------------------------------------
Variante 4:
Hello,
I just came across your email ID while searching in
the Yahoo profiles.Actually I want a true friend 4
life with whom I can share my every thing.So if you
are interested in being my friend 4 life then mail
me.
If you wanna know about me, attached is my profile
along with some of mypics. You can check and if you
like it then do mail me.I will be waiting for your
mail.
Best Wishes,
Your Friend..
-----------------------------------------------------------
Variante 5:
<<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>>
This E-Mail is never sent unsolicited. If you receive
this E-Mail then it is because you have subscribed to
the official newsletter at the KOF ONLINE website.
King Of Fighters is one of the greatest action game
ever made.Now after the mind boggling sucess of KOF
2001 SNK proudly presents to you KOF 2002 with 4 new
charecters.
Even though we need no publicity for our product but
thistime we have decided to give away a fully
functional trial version of KOF 2002. So check out the
attached trial version of KOF 2002 and register at our
official website to get a free copy of KOF2002
original version
Best Regards,
Admin,KOF ONLINE..
<<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>>
-----------------------------------------------------------
También puede enviar mensajes infectados con alguno de los siguientes remitentes:
linda@salma.com
sonia@salma.com
sonia@salmaescorts.com
sherline@salmaescorts.com
Y el siguiente mensaje:
Asunto: Sexy Call girls
Texto:
Hi...
Visit http:/ /salmaescorts.tripod.com/
expecting ur call
El gusano obtiene las direcciones a las que se envía de la libreta de Windows (WAB), todos los contactos, caché de Messenger, Yahoo Pager, páginas Web, etc.
El gusano no se ejecuta si alguno de los siguientes procesos está activo:
PVIEW95
PRCVIEW
REGEDIT
MSCONFIG
SYSEDIT
Cuando se ejecuta el adjunto, el gusano se copia en la carpeta System de Windows, con los siguientes nombres:
c:\windows\system\msupdat.exe
c:\windows\system\msexec.exe
c:\windows\regp32.exe
También se copia en la siguiente carpeta de inicio, para autoejecutarse en cada reinicio de Windows (Windows XP y 2000):
c:\documents and settings\all users\menú inicio
\programas\inicio\msntupdate.exe
c:\documents and settings\all users\start menu
\programs\startup\msntupdate.exe
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
Modifica el registro, para autoejecutarse en cada reinicio del sistema:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MicrosoftServiceManager = c:\windows\system\msupdat.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MicrosoftServiceManager = c:\windows\system\msupdat.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MicrosoftServiceManager = c:\windows\system\msupdat.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MicrosoftServiceManager = c:\windows\system\msupdat.exe
También modifica las siguientes claves:
HKCR\exefile\shell\open\command
(Predeterminado) = c:\windows\system\msexec.exe "%1" %*
HKCR\comfile\shell\open\command
(Predeterminado) = c:\windows\system\msexec.exe "%1" %*
HKCR\batfile\shell\open\command
(Predeterminado) = c:\windows\system\msexec.exe "%1" %*
Esto hace que se ejecute el virus cada vez que un archivo con extensión .EXE, .COM o .BAT es
llamado por el sistema. Esto dificulta la limpieza del virus, ya que cualquier programa que se ejecute, incluido el antivirus, lanza al gusano en memoria.
"C:\windows\system\msexec.exe" representa el nombre y ubicación del ejecutable del gusano una vez que se instaló en nuestro PC. En principio suele ser el que se indica, pero podría ser alguno de las otras copias del gusano.
También modifica el archivo WIN.INI para autoejecutarse en cada reinicio de Windows:
[windows]
run = c:\windows\regp32.exe
El gusano crea también la siguiente rama del registro, con información relacionada con el propio gusano (número de versión), autor, página web, etc.
HKLM\SOFTWARE\Microsoft\Snakes
El gusano intenta acabar con la ejecución de una larga lista de programas de seguridad, como antivirus, cortafuegos, etc., matando en memoria los procesos que contengan cualquiera de las siguientes cadenas:
_AVP32
_AVP32.EXE
_AVPCC
_AVPCC
_AVPCC.EXE
_AVPM
_AVPM.EXE
AckWin32
AckWin32
ACKWIN32
AckWin32.exe
AckWin32.exe
ACKWIN32.EXE
ADVXDWIN
ADVXDWIN.EXE
agentw.exe
ALERTSVC
ALERTSVC.EXE
ALOGSERV
alogserv
ALOGSERV
alogserv.exe
ALOGSERV.EXE
AMON9X
AMON9X.EXE
ANTI-TROJAN
ANTI-TROJAN.EXE
ANTS
ANTS.EXE
APVXDWIN
apvxdwin
APVXDWIN.EXE
apvxdwin.exe
ATCON
ATCON.EXE
ATUPDATER
ATUPDATER.EXE
ATWATCH
ATWATCH.EXE
AUTODOWN
AutoDown
AUTODOWN
AUTODOWN.exe
AutoDown.exe
AUTODOWN.EXE
AutoTrace
AutoTrace.exe
AVCONSOL
AVCONSOL.EXE
AVGCC32
AVGCC32
AVGCC32.EXE
AVGCC32.EXE
AVGCTRL
Avgctrl
AVGCTRL.EXE
Avgctrl.exe
AvgServ
AVGSERV
AvgServ
AVGSERV
AVGSERV.EXE
AVGSERV.EXE
AVGSERV9
AVGSERV9.EXE
AVGW
AVGW.EXE
avkpop
avkpop.exe
AvkServ
AvkServ.exe
avkservice
avkservice.exe
avkwctl9
avkwctl9.exe
AVP
AVP.EXE
AVP32
AVP32.EXE
AVPCC
avpm
avpm
AVPM
avpm.exe
AVPM.EXE
Avsched32
Avsched32.exe
AvSynMgr
AVSYNMGR
AVSYNMGR
AvSynMgr
AVSYNMGR
AVSYNMGR.exe
AVWINNT
AVWINNT.EXE
AVXMONITOR9X
AVXMONITOR9X
AVXMONITOR9X.EXE
AVXMONITOR9X.EXE
AVXMONITORNT
AVXMONITORNT
AVXMONITORNT.EXE
AVXMONITORNT.EXE
AVXQUAR
AVXQUAR
AVXQUAR.EXE
AVXQUAR.EXE.EXE
AVXW
AVXW.EXE
blackd
BLACKD
blackd.exe
BLACKD.EXE
BlackICE
BlackICE.exe
CDP.EXE
cfgWiz
cfgWiz.exe
Claw95
Claw95
CLAW95
Claw95.exe
Claw95.exe
CLAW95.EXE
Claw95cf
CLAW95CF
Claw95cf.exe
CLAW95CF.EXE
cleaner
cleaner.EXE
cleaner3
cleaner3.EXE
CMGRDIAN
CMGrdian
CMGRDIAN
CMGRDIAN.EXE
CONNECTIONMONITOR
CONNECTIONMONITOR.EXE
CPD
cpd.exe
cpd.exe
CPDClnt
CPDCLNT.EXE
CPDClnt.exe
CTRL
CTRL.EXE
defalert
defalert.exe
defscangui
defscangui.exe
DEFWATCH
DEFWATCH.EXE
DOORS
DOORS
DOORS.EXE
DOORS.EXE
DVP95
DVP95.EXE
DVP95_0
DVP95_0.EXE
EFPEADM
EFPEADM
EFPEADM.exe
EFPEADM.EXE
ETRUSTCIPE
ETRUSTCIPE
ETRUSTCIPE.exe
ETRUSTCIPE.EXE
EVPN
EVPN
EVPN.exe
EVPN.EXE
EXPERT
EXPERT.EXE
F-AGNT95
F-AGNT95.EXE
fameh32
fameh32.exe
fch32
fch32.exe
fih32
fih32.exe
fnrb32
fnrb32.exe
F-PROT
F-PROT.EXE
F-PROT95
F-PROT95.EXE
FP-WIN
FP-WIN.EXE
FRW
FRW
FRW.EXE
FRW.EXE
fsaa
fsaa.exe
fsav32
fsav32.exe
fsgk32
fsgk32.exe
fsm32
fsm32.exe
fsma32
fsma32.exe
fsmb32
fsmb32.exe
f-stopw
F-STOPW
f-stopw.exe
F-STOPW.EXE
gbmenu
gbmenu.exe
GBPOLL
gbpoll
GBPOLL.EXE
gbpoll.exe
GENERICS
GENERICS.EXE
GUARD
GUARD
GUARD.EXE
GUARD.EXE
GUARDDOG
GUARDDOG.EXE
iamapp
IAMAPP
IAMAPP
iamapp.exe
IAMAPP.EXE
IAMAPP.EXE
iamserv
IAMSERV
iamserv.exe
IAMSERV.EXE
IAMSTATS
IAMSTATS.EXE
ICLOAD95
ICLOAD95.EXE
ICLOADNT
ICLOADNT
ICLOADNT.EXE
ICLOADNT.EXE
ICMON
ICMON.EXE
ICSUPP95
ICSUPP95
ICSUPP95.EXE
ICSUPP95.EXE
ICSUPPNT
ICSUPPNT.EXE
IFACE
IFACE.EXE
IOMON98
IOMON98
IOMON98.EXE
IOMON98.EXE
ISRV95
ISRV95.EXE
JEDI
JEDI.EXE
LDNETMON
LDNETMON.EXE
LDPROMENU
LDPROMENU.EXE
LDSCAN
LDSCAN.EXE
LOCKDOWN
LOCKDOWN.EXE
lockdown2000
LOCKDOWN2000
lockdown2000.exe
LOCKDOWN2000.EXE
LUALL
LUALL.EXE
LUCOMSERVER
LUCOMSERVER.EXE
LUSPT
LUSPT.exe
MCAGENT
MCAGENT.EXE
MCMNHDLR
MCMNHDLR.EXE
Mcshield.exe
MCTOOL
MCTOOL.EXE
MCUPDATE
MCUPDATE.EXE
MCVSRTE
MCVSRTE.EXE
MCVSSHLD
MCVSSHLD.EXE
MGAVRTCL
MGAVRTCL.EXE
MGAVRTE
MGAVRTE.EXE
MGHTML
MGHTML.EXE
MINILOG
MINILOG.EXE
Monitor
MONITOR
Monitor.exe
MONITOR.EXE
MOOLIVE
MOOLIVE.EXE
MPFAGENT.EXE
MPFSERVICE
MPFSERVICE.exe
MPFTRAY.EXE
MWATCH
MWATCH
MWATCH.exe
MWATCH.EXE
NAV Auto-Protect
NAV Auto-Protect
NAVAP
NAVAP
navapsvc
navapsvc
NAVAPSVC.EXE
navapsvc.exe
navapw32
NAVAPW32
NAVAPW32.EXE
NAVENGNAVEX15
NAVENGNAVEX15
NAVLU32
NAVLU32.EXE
Navw32
NAVW32
Navw32.exe
NAVWNT
NAVWNT.EXE
NDD32
NDD32.EXE
NeoWatchLog
NeoWatchLog.exe
NETUTILS
NETUTILS.EXE
NISSERV
NISSERV
NISSERV.EXE
NISSERV.EXE
NISSERV.EXE
NISUM
NISUM
NISUM.EXE
NISUM.EXE
NMAIN
NMAIN.EXE
NORMIST
NORMIST
NORMIST.EXE
NORMIST.EXE
notstart
notstart.exe
NPROTECT
NPROTECT.EXE
npscheck
npscheck.exe
NPSSVC
NPSSVC.EXE
NSCHED32
NSCHED32.EXE
ntrtscan
ntrtscan.EXE
NTVDM
NTVDM.EXE
NTXconfig
NTXconfig.exe
Nui.EXE
Nupgrade
Nupgrade.exe
NVC95
NVC95
NVC95.EXE
NVC95.EXE
NVSVC32
NVSVC32
NWService
NWService.exe
NWTOOL16
NWTOOL16.EXE
PADMIN
PADMIN.EXE
PAVPROXY
pavproxy
PAVPROXY.EXE
pavproxy.exe
PCCIOMON
PCCIOMON
PCCIOMON.EXE
PCCIOMON.EXE
pccntmon
pccntmon.EXE
pccwin97
pccwin97.EXE
PCCWIN98
PCCWIN98.EXE
pcscan
pcscan.EXE
PERSFW
PERSFW.EXE
PERSWF
PERSWF.EXE
POP3TRAP
POP3TRAP.EXE
POPROXY
POPROXY.EXE
PORTMONITOR
PORTMONITOR.EXE
PROCESSMONITOR
PROCESSMONITOR.EXE
PROGRAMAUDITOR
PROGRAMAUDITOR.EXE
PVIEW95
PVIEW95.EXE
rapapp.exe
RAV7
RAV7.EXE
RAV7WIN
RAV7WIN.EXE
REALMON
REALMON.EXE
Rescue
RESCUE
Rescue.exe
RESCUE.EXE
RTVSCN95
RTVSCN95.EXE
RULAUNCH
RULAUNCH.EXE
sbserv
sbserv.exe
SCAN32
SCAN32.EXE
SCRSCAN
SCRSCAN.EXE
Smc
SMC.EXE
Sphinx
SPHINX
Sphinx.exe
SPHINX.EXE
SPYXX
SPYXX.EXE
SS3EDIT
SS3EDIT.EXE
SWEEP95
SWEEP95.EXE
SweepNet
SweepNet
SWEEPSRV.SYS
SWEEPSRV.SYS
SWNETSUP
SWNETSUP.EXE
SymProxySvc
SymProxySvc.exe
SYMTRAY
SYMTRAY.EXE
TAUMON
TAUMON.EXE
TC
TC.EXE
TCA
TCA.EXE
TCM
TCM.EXE
TDS-3
TDS-3.EXE
TFAK
TFAK.EXE
vbcmserv
vbcmserv
vbcmserv.exe
vbcmserv.exe
VbCons
VbCons
VbCons.exe
VbCons.exe
VET32
VET32
VET32.exe
VET32.EXE
Vet95
VET95
Vet95.exe
VET95.EXE
VetTray
VETTRAY
VetTray.exe
VETTRAY.EXE
VIR-HELP
VIR-HELP.EXE
VPC32
VPC32.EXE
VPTRAY
VPTRAY.EXE
VSCHED
VSCHED.EXE
VSECOMR
VSECOMR
VSECOMR.EXE
VSECOMR.EXE
vshwin32
VSHWIN32
VSHWIN32
VSHWIN32.EXE
VSMAIN
VSMAIN.EXE
vsmon
vsmon.exe
VSMON.EXE
VSSTAT
VSSTAT
VSSTAT.EXE
WATCHDOG
WATCHDOG.EXE
WEBSCANX
WEBSCANX
WEBSCANX.EXE
WEBTRAP
WEBTRAP.EXE
WGFE95
WGFE95.EXE
WIMMUN32
WIMMUN32.EXE
WrAdmin
WRADMIN
WRADMIN
WrAdmin.exe
WRADMIN.EXE
WRADMIN.EXE
WrCtrl
WRCTRL
WRCTRL
WrCtrl.exe
WRCTRL.EXE
zapro
zapro.exe
zonealarm
zonealarm.exe
ZONEALARM.EXE
Esta versión del gusano es capaz de infectar otras computadoras a través de una red local. Primero enumera los recursos compartidos en red, y luego busca las siguientes carpetas en ellos:
windows
win98
win95
winnt
win
winme
winxp
Luego, se copia en cada una de las carpetas encontradas con el siguiente nombre:
regp32.exe
Busca en esas carpetas el archivo WIN.INI, y lo modifica de la siguiente forma:
[windows]
run = c:\windows\regp32.exe
También busca las siguientes carpetas:
\documents and settings\all users
\menú inicio\programas\inicio\
\documents and settings\all users
\start menu\programs\startup\
Y se copia en ellas con el siguiente nombre:
msntupdate.exe
Ambos métodos permiten que el gusano se ejecute en la computadora remota cuando la misma se reinicie.
Si el gusano localiza en la computadora infectada carpetas del servidor Web IIS (Internet Information Server), modifica las páginas HTML allí localizadas. Para ello, el gusano busca archivos *.HTM y *.HTML en las siguientes carpetas:
\inetpub\wwwroot\
En cada página HTML encontrada, agrega al final de la misma, las instrucciones para mostrar el siguiente texto cada vez que una de esas páginas es abierta:
Ha..Ha..Haaa...
El gusano también libera en las máquinas infectadas, un DLL que utiliza para capturar todo lo tecleado por el usuario. El registro de todo lo tecleado es guardado en un archivo especial localizado en la carpeta de archivos temporales. El gusano envía luego este archivo en forma periódica (cada vez que el archivo supera los 30 Kb), a la siguiente dirección electrónica:
agatequartz@yahoo.com
En el mensaje incluye la dirección IP actual y el nombre del host de la computadora infectada. El archivo luego es borrado.
El gusano es capaz de eliminar cualquiera de las siguientes aplicaciones:
Windows Task Manager
System Configuration Utility
Registry Editor
Process Viewer
Esto hace muy complicada la remoción manual del gusano.
Esta variante del Yaha también elimina ciertos gusanos, virus o troyanos que pudieran estar ejecutándose en la máquina infectada.
Elimina cualquier tarea que se esté ejecutando, en cuyo nombre exista toda o parte de las siguientes cadenas:
AAAA
NAV32_LOADER
SYSHELP.EXE
TCPSVS32
WINGATE.EXE
WINK
WINMGM32.EXE
WINSERVICES
Algunas de estas tareas corresponden a otros virus o gusanos (por ejemplo el KLEZ).
También borra cualquiera de los siguientes archivos presentes en la máquina infectada (algunos de ellos también pertenecen a programas malignos):
nav32_loader.exe
SNTMLS.DAT
syshelp.exe
tcpsvs32.exe
WinGate.exe
winmgm32.exe
WinRpcsrv.exe
WinServices.exe
También borra las siguientes entradas del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syshelp
WinGate initialize
Module Call initialize
WindowsMGM
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsMGM
El gusano intenta realizar ataques de denegación de servicio (DoS), a los siguientes sitios Web:
www.jamaat.org
www.klc.org.pk
www.pak.gov.pk
www.piac.com.pk
www.ummah.org.uk
Si el gusano se propaga, estos sitios podrían ser inaccesibles, debido a la cantidad de solicitudes recibidas de cada máquina infectada.
Reparación manual
Preparación previa
Descargue el siguiente archivo (repara2.reg):
http://www.videosoft.net.uy/repara2.reg
Finalizar el proceso en memoria del virus
Windows 95, 98 y Me
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Windows NT, 2000 y XP
1. Actualice sus antivirus con las últimas definiciones, luego pulse CTRL+ALT+SUPR.
2. Pinche en Administrador de tareas.
3. Pinche en la lengüeta Procesos.
4. En la lista de tareas, señale la siguiente y pulse el botón de finalizar tarea:
MSEXEC.EXE
MSUPDAT.EXE
MSNTUPDATE.EXE
REGP32.EXE
Editar el registro
1. Haga doble clic sobre el archivo REPARA2.REG descargado antes (ver "Preparación previa"), para agregar su contenido al registro.
2. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER
3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
MicrosoftServiceManager
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
MicrosoftServiceManager
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
MicrosoftServiceManager
9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
10. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
MicrosoftServiceManager
11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Snakes
13. Pinche en la carpeta "Snakes" y bórrela.
Editar el archivo WIN.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run = c:\windows\regp32.exe
Debe quedar como:
[windows]
run =
3. Grabe los cambios y salga del bloc de notas.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\msupdat.exe
c:\windows\system\msexec.exe
c:\windows\regp32.exe
c:\documents and settings\all users\menú inicio
\programas\inicio\msntupdate.exe
c:\documents and settings\all users\start menu
\programs\startup\msntupdate.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares a los descriptos antes.
Si no se realiza cuidadosamente este procedimiento de limpieza, el gusano puede volver a modificar ciertos archivos, o incluso el registro. Si es necesario, reitere los mismos pasos luego de completar la primera limpieza.
Información adicional
Reinstalar archivos HTML del servidor Web.
Si usted tiene un servidor Web IIS activo en su computadora, deberá reemplazar todos los archivos .HTM y .HTML por una copia de respaldo limpia, o modificar manualmente cada página para limpiar los cambios realizados por el gusano (ver descripción anterior).
Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el siguiente artículo:
http://www.vsantivirus.com/vulms03-032.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|