VSantivirus No. 771 - Año 6 - Domingo 18 de agosto de 2002

VSantivirus No. 771 - Año 6 - Domingo 18 de agosto de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - BAT/Migrate.A. Asunto: “A Greeting Card For You”
2 - Troj/Portacopo:br. Troyano sumamente destructivo
3 - Troj/Small.h. Descarga y ejecuta al troyano IRC.BlackRat
_____________________________________________________________

1 - BAT/Migrate.A. Asunto: “A Greeting Card For You”
_____________________________________________________________

http://www.vsantivirus.com/migrate-a.htm

Nombre: BAT/Migrate.A
Tipo: Gusano de Internet y troyano .BAT (MS-DOS Batch)
Alias: BAT_MIGRATE.A, IRC_MIGRATE.A, VBS_MIGRATE.A
Plataforma: Windows 32-bits
Tamaño: 294,360 bytes

Este gusano se propaga en un archivo de proceso por lotes
(.BAT), con un componente VBS (Visual Basic Script), adjunto
a un mensaje de correo electrónico. También utiliza los
canales de IRC y la utilidad KaZaa.

El mensaje posee estas características:

Asunto: A Greeting Card For You
Texto: Coz you're special to me... :)
Datos adjuntos: GREETING.CARD.BAT

Existe un HOAX que hace mención de un virus que se propaga en
un mensaje con el mismo título (ver Referencias). Sin
embargo, éste es un virus real, con características
diferentes a las que anuncia dicha falsa alarma.

El gusano también puede copiarse a través de los canales de
IRC (Internet Relay Chat), utilizando DCC (Direct Client
Connection), y la red peer-to-peer, KaZaa, usada por miles de
usuarios para intercambiar archivos entre computadoras.

Cuando se ejecuta, el gusano crea los siguientes archivos:

C:\greeting.card.bat
C:\M0.VBS
C:\GREETS.JPG
C:\B4.ACP
C:\Progra~1\MIRC\Script.Ini

También crea la siguiente carpeta:

C:\UTN6

En ésta última, se crean varias copias del propio gusano, con
diferentes nombres:

animated_britney_spears_tits.gif.bat
anna_kournikova_sings.mp3.bat
natalie_portman_nude.jpg.bat
fuck_of_the_month.mpg.bat
free_vicodineES.scr.bat
starcraft_full_download.exe.bat
Kazaa.bat
morpheous.bat
the_matrix.mpg.bat
batman.bat

También se crean los siguientes archivos en el directorio
donde se ejecute el gusano:

g2b2r8.vbs
u4q3
f8i4
m0q4
f3

GREETING.CARD.BAT es el propio gusano. Al ejecutarse, este
archivo crea el archivo MO.VBS (667 bytes), el componente en
Visual Basic Script que envía al propio gusano a través del
correo electrónico en un mensaje como el descripto antes,
utilizando para ello el Outlook y Outlook Express de
Microsoft.

El archivo GREETS.JPG es una imagen legítima en formato JPEG,
que es mostrada al usuario con el visor estándar instalado en
la máquina infectada, cada vez que el gusano se ejecuta.

B4.ACP es un archivo de registro (.REG) renombrado que
contiene los datos usados por el gusano para habilitar la
carpeta infectada compartida en KaZaa:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing = dword:00000000

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir0 = "012345:c:\u7n6"

Estas modificaciones se realizan esté o no esté instalada la
aplicación KaZaa en la computadora infectada. En el caso de
estarlo, la carpeta C:\U7N6 (que como vimos contiene en su
interior numerosas copias del propio gusano), queda a
disposición de los demás usuarios que compartan archivos,
produciéndose la infección de estos en el caso de ejecutar
alguno de esos archivos.

El archivo G2B2R8.VBS es otro script de Visual Basic que en
este caso realiza la desencriptación de parte del código
original del virus, y se copia en el directorio donde se
ejecutó el gusano.

El archivo SCRIPT.INI (147 bytes) es un archivo de
configuración del programa mIRC, que habilita la opción de
enviar copias del propio gusano a otros integrantes de los
canales de chat compartidos por la víctima, a través de una
conexión DCC (Direct Client Connection). El código del gusano
intenta copiar este archivo en la carpeta C:\Progra~1\MIRC,
aún cuando no esté instalado allí el mIRC. Por otra parte, en
caso de existir allí un SCRIPT.INI, el gusano falla en su
intento de copia.

Los archivos U4Q3, F8I4, M0Q4 y F3, contienen el código
encriptado de M0.VBS, GREETS.JPG, SCRIPT.INI y B4.ACP
respectivamente, antes de ser desencriptados y copiados por
el gusano a las ubicaciones vistas antes.

El gusano utiliza la utilidad DEBUG.EXE de MS-DOS, para
generar sus diferentes componentes. El código visible del
gusano en el archivo original (.BAT), está fuertemente
encriptado.

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Reparación manual

Para reparar manualmente la infección provocada por este
virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos
duros

3. Borre los archivos detectados como infectados

* Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en 'Buscar en:' la unidad 'C:', y de
tener seleccionada la opción 'Incluir subcarpetas'

3. En 'Nombre' ingrese (o corte y pegue), lo siguiente (uno a
la vez, o separados por punto y coma):

GREETING.CARD.BAT
M0.VBS
GREETS.JPG
B4.ACP
g2b2r8.vbs
u4q3
f8i4
m0q4
f3
SCRIPT.INI
U7N6

'U7N6' es una carpeta que debe ser borrada.

4. Haga clic en 'Buscar ahora' y borre todos los archivos
encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la 'Papelera
de reciclaje' en el escritorio, y seleccione 'Vaciar la
papelera de reciclaje'.

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione Todos los archivos y carpetas

3. En 'Todo o parte del nombre' ingrese (o corte y pegue), lo
siguiente (uno a la vez, o separados por punto y coma):

GREETING.CARD.BAT
M0.VBS
GREETS.JPG
B4.ACP
g2b2r8.vbs
u4q3
f8i4
m0q4
f3
SCRIPT.INI
U7N6

'U7N6' es una carpeta que debe ser borrada.

4. Verifique que en 'Buscar en:' esté seleccionado 'C:'

5. Pinche en 'Opciones avanzadas'

6. Seleccione 'Buscar en carpetas del sistema'

7. Seleccione 'Buscar en subcarpetas'

8. Haga clic en 'Buscar ahora' y borre todos los archivos
encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la
'Papelera de reciclaje' en el escritorio, y seleccione
'Vaciar la papelera de reciclaje'.

* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

3. Pinche en la carpeta "LocalContent" y en el panel de la
derecha busque y borre las siguientes entradas:

DisableSharing = dword:00000000
Dir0 = "012345:c:\u7n6"

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

* Relacionados

VSantivirus No. 129 - 14/nov/00
Hoax: Una postal virtual para Usted
http://www.vsantivirus.com/tarjeta.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Troj/Portacopo:br. Troyano sumamente destructivo
_____________________________________________________________

http://www.vsantivirus.com/portacopo.htm

Nombre: Troj/Portacopo:br
Tipo: Caballo de Troya
Alias: Trojan.Portacopo:br
Fecha: 8/ago/02
Tamaño: 475,648 bytes
Plataforma: Windows 95 y 98

Este troyano, aparentemente creado en Brasil, ha sido
reportado en diversas redes compartidas de archivos entre
usuarios (Peer-to-peer) tales como KaZaa, Morpheus, etc., en
un archivo de nombre PORTACOPOS.EXE, y contiene una rutina
altamente destructiva que solo afecta a usuarios con Windows
en portugués.

El nombre (portavasos en español), hace referencia a una
popular broma sobre el uso como portavaso de la bandeja de la
lectora de CD, y apela a esto para engañar al usuario y
obligarlo a su ejecución.

Está escrito en Delphi, y se presenta con un icono similar al
usado por las aplicaciones creadas con Shockwave.

Cuando el troyano se ejecuta por primera vez, se presenta una
ventana de diálogo con el siguiente mensaje:

Multifuncional
Voce acaba de descobrir mais um
excelente recurso de seu
microcomputador!
[ Utilizar ]

Al pinchar en el botón [Utilizar], la bandeja de la lectora
de CD se abre, y al mismo tiempo se muestra este otro
mensaje:

Porta Copos
Un excelente e util PORTA COPOS!
[ OK ]

Al pinchar en el botón [OK] aparece este nuevo mensaje:

Multifuncional
Voce acaba de descobrir mais um
excelente recurso de seu
microcomputador!
[ Fechar ]

Al pinchar en [Fechar] se cierra la bandeja.

Mientras estos mensajes son mostrados, el troyano se copia a
si mismo como WSYS.EXE en la carpeta Windows:

C:\Windows\WSys.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows
instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o
C:\WINNT en Windows NT/2000).

Luego modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio del sistema infectado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
BOOT Verify = C:\Windows\WSys.exe /plus

También se crea esta entrada:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
CountStart = 1

El contador aumentará de 1 en 1 en cada ejecución del troyano
en la computadora infectada.

En sistemas en portugués, se sobrescriben todos los archivos
no abiertos por el sistema en todas las carpetas y
subcarpetas de las unidades de disco locales y las
compartidas en red. Los archivos sobrescritos quedan todos
con un tamaño de 1 byte de longitud.

Note que se trata de un programa maligno, no es un virus ni
un gusano, que pueda propagarse por si solo, aún cuando haya
sido visto en el intercambio de archivos a través de
utilidades como KaZaa. Requiere la acción directa del usuario
damnificado para su ejecución (doble clic sobre el archivo),
por lo que suele usarse en forma premeditada por algunos
atacantes, en este caso, simulando mostrar una 'original'
manera de convertir nuestra lectora de CD en un 'práctico'
portavasos.

* Reparación manual

Si se ha ejecutado la rutina destructiva del troyano, no hay
forma de reparar los archivos sobrescritos, debiéndose
reinstalar Windows y todos los programas.

En caso contrario, para reparar manualmente la infección
provocada por este troyano, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos
duros

3. Borre los archivos detectados como infectados

* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

Boot Verify

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - Troj/Small.h. Descarga y ejecuta al troyano IRC.BlackRat
_____________________________________________________________

http://www.vsantivirus.com/small-h.htm

Nombre: Troj/Small.h
Tipo: Caballo de Troya
Alias: BackDoor.BlackRat.154, TrojanDropper.Win32.Small.h,
Downloader-AR
Fecha: 12/jul/02
Tamaño: 4,608 bytes
Plataforma: Windows 32-bits

Se trata de un troyano cuya misión es conectarse a Internet e
intentar la descarga e instalación de otro troyano llamado
Troj/IRC.BlackRat (Backdoor-AIK).

El troyano posee solo 4 Kb, ya que está comprimido con la
utilidad PE-Pack.

Aunque puede ser descargado de sitios maliciosos, o enviado
premeditadamente por algún atacante, ha sido reportado en
algunos mensajes de correo no solicitado (spam), con las
siguientes características:

De: natali@mail.[etc.]
Asunto: my photo =)

Texto:
Hi, here is the photo you asked for.
--
Best regards,
Natali mailto:natali@mail.[etc.]

Datos adjuntos: photo.exe

Cuando el troyano se ejecuta en la computadora atacada (doble
clic del propio usuario), si hay una conexión activa,
intentará descargar de Internet un archivo llamado BOT.EXE.

Este archivo es otro troyano, identificado por algunos
antivirus como Troj/IRC.BlackRat (Backdoor-AIK).

Luego de la descarga, Troj/Small.h ejecutará al nuevo
troyano, Troj/IRC.BlackRat. Este crea un archivo X32AFX.EXE
en la carpeta System de Windows:

C:\Windows\System\x32afx.exe

'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo
al sistema operativo instalado (con esos nombres por defecto
en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en
Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

Luego el registro de Windows es modificado para que se
ejecute el troyano en cada reinicio de la computadora:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
main_module = C:\Windows\System\x32afx.exe

* Troj/IRC.BlackRat

Nombre: Troj/IRC.BlackRat
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.IRC.BlackRat.gen, W32.IRCBot.Gen, BackDoor-
AIK
Fecha: 12/jul/02
Tamaño: 23,552 bytes
Plataforma: Windows 32-bits

Este troyano no se ejecuta por si solo (hasta ser instalado),
y si se ejecuta en forma directa, no hace nada en absoluto,
debiendo utilizarse para ello un programa instalador, en este
caso Troj/Small.h (Downloader-AR).

Después de que Troj/Small.h lo instala y ejecuta (copiándolo
antes como X32AFX.EXE en la carpeta Windows\System),
Troj/IRC.BlackRat queda a la escucha en el puerto TCP 1160, e
intenta conectarse al servidor de origen ruso
"relay.volga.ru:6667". Esta información es visible con el
comando NETSTAT.

El troyano posee características que permiten a un atacante
tomar el control remoto del sistema infectado, lo que
compromete seriamente la seguridad de éste último.

El programa que lo instala, agrega las siguientes entradas al
registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\System32

authstr = "deadcandance"
channel = "#fuzz"
hostname = ""
idle = "60000"
key = "mustdieinside"
master = "StillAlive"
nick = "X12050251fffbeb13"
pass = "fffbeb1312050251"
port = "57163"
remote = "195.144.192.123"
servername = "irc.volga.ru"
userinfo = "none"
username = "none"

Un programa tipo firewall (cortafuego) como el ZoneAlarm,
detendrá y advertirá la conexión de estos troyanos con
Internet, así como cualquier intento de acceder a nuestro
sistema.

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm

* Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos
duros

3. Borre los archivos detectados como infectados

* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

main_module

4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\System32

5. Pinche en la carpeta "System32" y bórrela con la tecla
SUPR.

6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________