Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Avril.A. Roba contraseñas, borra antivirus, infecta red
 
VSantivirus No. 894 - Año 7 - Miércoles 18 diciembre de 2002

W32/Avril.A. Roba contraseñas, borra antivirus, infecta red
http://www.vsantivirus.com/avril-a.htm

Nombre: W32/Avril.A
Tipo: Gusano de Internet
Alias: W32/Avron, I-Worm.Avron, AVRIL, W32/Avron@mm, W32/Avril@mm, I.worm.Avron@mm
Fecha: 17/dic/02
Plataforma: Windows 32-bits
Tamaño: 26 KB (UPX), 57 KB

Herramientas de desinfección:
Ver: W32/Avril.B. Se propaga vía e-mail, IRC, ICQ y KaZaA
http://www.vsantivirus.com/avril-b.htm


Este gusano se propaga a través de Internet vía correo electrónico y recursos compartidos en redes. Posee capacidad para robar contraseñas del equipo infectado. Escrito en Microsoft Visual Basic C++ y comprimido con la utilidad UPX, este gusano en formato PE (Portable Executable), posee algunos errores que hacen que en ocasiones falle en su intención de propagarse.

Cuando se instala el gusano se copia a si mismo en el directorio System de Windows con un nombre al azar (letras y números). Por ejemplo:

C:\Windows\System\5gsis8yd.exe
C:\Windows\System\tsdt76d7d.exe

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

El gusano también modifica el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Mortimer = [nombre del archivo del gusano]

Las direcciones para enviarse a través de un correo electrónico con el gusano adjunto, son tomadas de la libreta de direcciones de Windows (WAB), y de archivos con las siguientes extensiones (bases de datos de mensajes y páginas Web):

.DBX
.MBX
.WAB
.HTML
.EML
.HTM
.ASP
.SHTML

Para enviarse, el gusano utiliza el servidor SMTP del usuario infectado, dato que obtiene directamente del registro.

El mensaje infectado posee estas características:

En el campo "De:" puede tener la dirección del usuario infectado, una dirección auténtica obtenida de la propia computadora, o una dirección falsa seleccionada de la siguiente lista:

ACTR/Accels <general@actr.org>
Avril Lavigne <avril@avril.com>
IIS Exchange Board <iis@microsoft.com>
IREX/ORG <smash@smash.com>
RART Team <aguilera@aguilera.com>
Rudolf Ginsberg <rudolf@ginsberg.com>
Stimon online <strauss@annung.de>

El "Asunto:" puede ser una de estas variantes:

Fw: Avril Lavigne - the best
Fw: IREX Fields Description
Re: ACCELS Awards results for 2003
Re: ACTR/ACCELS Transcriptions
Re: Antique themes
Re: Avril Fans will rock you

El cuerpo del mensaje (en formato HTML) es seleccionado al azar de una de las siguientes variantes:

Texto 1:

EDUCATIONAL PURPOSE
Avril fans subscription
I wish you the sweetest thing

Texto 2:

Restricted area response team (RART)

Attachment you sent to
[nombre gusano] is really good :-)
Well done!

SMTP session error #450: service not ready

Texto 3:

>See this in attached files
>>New PICS of Avril Lavigne!!!
>>It is honourable when you do it!!!

El nombre para el archivo enviado como datos adjuntos (el código del gusano propiamente dicho), es seleccionado al azar de la siguiente lista:

ACTR_Form.exe
AvrilFans.exe
AvrilSmiles.exe
PDF_Desc.exe
Readme.exe
Resume.exe
Transcripts.exe
XXX_Teens.exe

Mientras ejecuta su rutina de propagación, el gusano crea el siguiente archivo en la carpeta de archivos temporales de Windows (por defecto C:\Windows\TEMP):

C:\Windows\TEMP\NewBoot.sys

También crea en el directorio C:\Windows, un archivo donde guarda la lista de direcciones a las que se envía (a pesar de su extensión, es un archivo de texto):

C:\Windows\listrecp.dll

El gusano utiliza en algunos casos la etiqueta IFRAME para explotar la falla que permite que el adjunto se ejecute por el solo acto de leer o visualizar el mensaje (ms01-020 Iframe exploit).

En otras ocasiones, el texto del mensaje es HTML puro sin la etiqueta IFRAME (la infección ocurre solo al abrir el adjunto con un doble clic).

El gusano también es capaz de copiarse a si mismo, con nombres seleccionados al azar, a las carpetas de la papelera de reciclaje (\RECYCLED), en todas las unidades de disco disponibles, incluidas todas las mapeadas en red.

Si en alguna unidad no existe el directorio \RECYCLED, el gusano se copia en el directorio raíz.

Para ejecutarse en cada unidad remota, el gusano modifica también el archivo "\autoexec.bat".

Su rutina de robo de contraseñas, las obtiene del caché de las mismas en Windows, y las envía a la dirección del supuesto autor: "otto_psws@pochta.ws" en un mensaje con el asunto "Password Got".

Si el gusano se ejecuta el día 7 o el día 24 de cualquier mes, se activa una rutina que mueve al azar el cursor del ratón por toda la pantalla. Además se abre una ventana del navegador usado, con la siguiente dirección (página oficial de la cantante Avril Lavigne):

http://www.avril-lavigne.com

El gusano también inicia una rutina que continuamente examina los programas en ejecución, e intenta quitar todo antivirus y cortafuegos que encuentre activos.

También crea un archivo .TXT en el directorio Windows\TEMP, conteniendo el siguiente texto:

Author ------> 2002 (c) Otto von Gutenberg
Made in -----> Almaty .::]Kazakhstan[::. (:;)--:>
Purpose -----> Only Educational
Virus name --> AVRIL (please do not change it)

[ATTENTION]
The author has no response of the damages
caused by AVRIL.

[DESCRIPTION]
For my lovely Avril Lavigne dedicated.
She lives in Canada and she's beautiful.
This is for AV companies:
Why? Why? Why don't you update your KB (knowledge bases)
on my serial and yet serious masterpieces?!
I guess that of AVRIL will get you thought of it.
NO DESTRUCTIVE ACTION!

[ACKNOWLEDGEMENT]
Antoher V0X & Hacker Group from Central Asia
Thanx to Rage, Razum and V-HiV; coderz.net, indovirus.net, securitylab.ru etc.

Thank you for ideas approach to us!!!
Bye


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Mortimer

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre todas las líneas que contengan nombres de cualquiera de los archivos identificados con el gusano.

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

W32/Avril.C. Nueva variante que descarga troyano BO
http://www.vsantivirus.com/avril-c.htm

W32/Avril.B. Se propaga vía e-mail, IRC, ICQ y KaZaA
http://www.vsantivirus.com/avril-b.htm


Actualizaciones:

12/may/03 - Renombrado de W32/Avron a W32/Avril.A



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS