| |
VSantivirus No. 475 - Año 5 - Viernes 26 de octubre 2001
Nombre: W32/Anset
Tipo: Gusano de Internet
Alias: W32/Anset-A, W32/Anset-B, I-worm.Anset.a, I-worm.Anset.b, W32.Anset.Worm, W32/Anset@mm
Fechas: 23/oct (A), 24/oct (B) y 25/oct (C)
Versiones:
Win32.Anset.A (186880 bytes)
Win32.Anset.B (179712 bytes)
Win32.Anset.C (179712 bytes)
Existen dos nuevas variantes del W32/Anset (que ahora se llama W32/Anset-A): W32/Anset-B y W32/Anset-C.
En formato PE EXE, el gusano está escrito en lenguaje Delphi, y puede tener 462 Kb sin comprimir, pero las versiones que circulan están comprimidas (con la utilidad UPX packed), siendo su tamaño entre 170 y 190 Kb aprox..
El gusano se propaga a través de un mensaje conteniendo un adjunto llamado
ANTS3SET.EXE, simulando ser un escaneador de troyanos gratuito, llamado
ANTS, de origen alemán. Funciona en todas las versiones de Windows.
El asunto del mensaje es "ANTS Version 3.0" y el mensaje en la versión "A" del gusano, es el siguiente:
Hi,
anhängend findest Du die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angehängte Setup-Datei ausführen.
attached you will find the brandnew version 3.0 of ANTS the unique trojan defense system. To install ANTS simply run the attached Setup-File.
Adieu, Andreas
webmaster@avnetwork.de
http://www.ants-online.de
En la versión "B" y "C", el mensaje tiene unas pequeñas modificaciones (mayúsculas que no estaban antes, etc.). Esto dicen los mensajes enviados:
Hi,
Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen.
Attached you will find the brand new Version 3.0 of ANTS, the unique freeware trojan scanner. To install ANTS simply run the attached setup file.
Adieu, Andreas
webmaster@avnetwork.de
http://www.ants-online.de
Cuando el gusano se ejecuta (al hacer clic sobre el adjunto por ejemplo), el crea una copia de si mismo con un nombre al azar en la carpeta Windows, y luego modifica la siguiente rama del registro.
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
[nombre del archivo]= "C:\Windows\[nombre del archivo].exe"
El nombre del gusano, cambia en cada ejecución.
El gusano también busca en la libreta de direcciones del Outlook y en los archivos con extensión
.CGI, .HTM, .SHTM, .PHP y .PL, direcciones de correo electrónico a las que luego se envía en un mensaje con las características ya vistas.
Para reenviarse, el gusano utiliza además del servidor SMTP que usa la cuenta electrónica del correo del usuario, los siguientes servidores anónimos:
200.52.69.2 (wdcserv.webdotcom.mx)
200.52.69.9 (SPITE)
193.92.94.226 (INT_SERVER)
12.34.208.35 (www.teamtarantin.com)
195.229.189.2 (SERVER2)
toad.com
196.40.0.82 (SERVERINTER)
196.40.0.90 (server-cr.mundo.co.cr)
Síntomas de infección
W32/Antset realiza ciertas acciones encaminadas a ocultar su presencia en el ordenador afectado. Estas acciones consisten en ocultar ventanas y procesos.
Si su equipo está infectado, no salga de Windows ni reinicie su computadora para prevenir que el troyano modifique su nombre.
Ejecute uno o más antivirus al día, y borre los archivos detectados como
"Anset", "Anset.b", y "Anset.c"
Luego, siga estos pasos:
1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.
2. En el panel de la izquierda, pinche sobre el "+" de la rama que corresponda, hasta llegar a la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
RunOnce
3. Pinche sobre la carpeta "RunOnce", y en el panel de la derecha, busque el registro que contenga como referencia el nombre del archivo original con el gusano. Por ejemplo:
[nombre del archivo]=
"C:\Windows\[nombre del archivo].exe"
4. Marque [nombre del archivo] y pulse sobre la tecla SUPR o DEL. Confirme que desea borrar la clave.
5. Salga del editor del Registro (Registro, Salir) para confirmar los cambios.
6. Reinicie su computadora.
7. Ejecute uno o más antivirus al día.
Fuente: Kaspersky Labs, Symantec, Panda, Sophos
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
