| VIRUS |
 |
| W32/Winevar |
|
|
|
| Nombre: W32/Winevar |
|
| Aliases: W32/Korvar, WORM_WINEVAR.A, I-Worm.Winevar, W32.HLLW.Winevar |
|
| Variantes: Ninguna |
|
| Fecha de Descubrimiento: 23/11/2002 |
|
| Tipo: Gusano de internet |
|
| Gravedad: Baja |
|
| Origen: Korea |
|
|
|
|
| Información: Otro virus con la capacidad de extraer una copia del conocido FunLove. Además, si encuentra algún software antivirus o firewall activo, elimina todo el contenido del disco a su alcance. |
|
|
|
Características: Este virus puede llegar en un mensaje de correo electrónico el cual contiene dos archivos adjuntos:
Win(caracteres aleatorios).Txt (12.6 KB) MUSIC_1.HTM
Win(caracteres aleatorios).Gif (120 bytes) MUSIC_2.CEO
Muchos usuarios, pueden creer que se trata de 4 archivos, pero son solo dos con extensiones .HTM y .CEO.
Al ejecutar el supuesto archivo de texto, se ejecutará un código de JavaScript incluido en el archivo .htm el cual modifica el registro incluyendo la extensión .ceo como ejecutable.
Si luego, la víctima intenta abrir la supuesta imágen, el virus habrá infectado el sistema.
Además, en sistemas vulnerables, el virus puede ejecutarse cuando el usuario visualiza el mensaje aprovechando una conocida vulnerabilidad.
Una vez ejecutado, intenta terminar y deshabilitar algunos productos antivirus y firewalls. Esto es llevado a cabo listando todos los procesos y servicios, y terminando todo el que contenga en su nombre lo siguiente:
view
debu
scan
mon
vir
iom
ice
anti
fir
prot
secu
dbg
avk
pcc
spy
a menos que el nombre contenga lo siguiente:
microsoft
ms
_np
r n
cicer
irmon
smtpsvc
moniker
office
program
explorewclass
Una vez que todos los procesos y servicios han sido chequeados, el gusano agrega los siguientes valores bajo Windows 9x/Me:
(Default) Win(caracteres aleatorios).pif
Win(caracteres aleatorios) Win(caracteres aleatorios).pif
a la clave HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices.
En todas las versiones agrega o modifica uno de los siguientes valores:
(Default)
Win(caracteres aleatorios)
a estas claves:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Cada vez que el gusano es ejecutado, nueva información será agregada a estos valores. Mediante estas modificaciones, el virus se asegura la ejecución en cada inicio del sistema.
Al finalizar con la modificación del registro de configuraciones, se copia a si mismo como C:\Windows\System\Win(caracteres aleatorios).pif, y se ejecuta en dicha ubicación. Envía, al ejecutarse la hora actual en milisegundos, cuando la segunda copia activa del virus toma el control controla que no hayan pasado mas de 512 milisegundos, si así fuese mostrará el siguiente mensaje y activará su rutina maliciosa:
Ésta ejecuta una rutina para terminar y deshabilitar productos antivirus y firewalls. Esto es hecho una vez por segundo mientras el gusano intenta eliminar todos los archivos en todos los directorios en la unidad donde él fue ejecutado.
Si no se activa la rutina maliciosa, el virus crea el mutex ~~ Drone of StarCraft~~.
Si no encuentra una conexión activa a internet cuando intenta conectarse a www.symantec.com, infecta el sistema con una copia del virus W32/Funlove que trae consigo.
Si, en cambio, si el usuario se encuentra conectado a internet en dicho momento, consulta el nombre del dueño y de la organización que han registrado la copia de Windows. Si la organización se encuentra vacía insertará el valor Trand Microsoft Inc.. Si el nombre del dueño no existiera ingresaría AntiVirus.
Luego, se copia al directorio C:\Windows\Escritorio con el nombre Explorer.pif.
En cada unidad, examinará todos los archivos y directorios en busca de archivos .htm y .dbx. Si el nombre de algún directorio contiene alguna de las siguientes cadenas, borrará todos los archivos y directorios dentro de éste:
antivirus
cillin
nlab
vacc
Estos nombres correspondes a populares productos antivirus en Korea, China y Japón.
Si algun archivo .htm o .dbx es encontrado, buscará dentro de éste direcciones de correo electrónico. Para cada dirección que no contenga HKCR\Software\Microsoft\DataFactory. Esta lista se mantiene solo en la sesión actual y es eliminada cada vez que el virus es reiniciado. Para enviar los mensajes de correo electrónico, utiliza su propio motor SMTP utilizando los datos del cliente predeterminado del usuario.
El mensaje enviado contendrá las siguientes características:
Asunto:
Re: AVAR(Association of Anti-Virus Asia Reseachers)
o
N`4?(organización registrada o "Trand Microsoft Inc.")
Cuerpo:
AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish.
o
(dueño registrado) - (organización registrada)
Si ningún mensaje ha sido enviado, ya sea porque ningún archivo fue encontrado o por algún error, el virus muestra el mensaje mostrado anteriormente.
Al finalizar, intenará realizar un ataque de denegación de servicio (DoS) al sitio www.symantec.com. |
|
|
|
| Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí. Reparación Manual:
Ejecute uno o mas antivirus actualizado al día de la fecha en Modo a prueba de fallos elimiando todos los archivos infectados por el virus.
Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. En caso de haberse borrado todos los archivos del disco, una reinstalación completa sería necesaria.
También puede descargarse desde el sitio de Symantec una herramienta llamada FixWEvar la cual elimina el virus y restablece las modificaciones realizadas. El link para descargar esta herramienta puede ser encontrada aquí. |
|
|
|
|
| Agregado el: 04/12/2002 |
|
| Modificado el: // |
|
|
|
|
 |
W32/Cuydoc: Solo infecta versiones en Español de Windows. Es capaz de eliminar todos los archivos .doc de Mis documentos y copiarse a la unidad A: si algún disquete es encontrado.  |
|
| W32/IRCBot.B: Se trata de una variante de la familia SDBot. Fue detectado propagándose a través del correo electrónico, como spam, pero no tiene ninguna rutina para propagarse por ese medio. En cambio, puede ser distribuido a través de los canales de IRC. |
|
|
|
 |
Virus más reportados en los últimos 30 días:
|
|
|
 |
|
Podés incorporar nuestras noticias y alertas en tu sitio:
|
|
|
0
|
