• Herramientas para quitar el W32/Avril.B y C de un sistema infectado

MessageLabs y Symantec han anunciado la presencia de un nuevo gusano con capacidad de envío masivo, con un porcentaje de incidencias bastante alto.

Para no perder la costumbre, las diversas compañías le han asignado diferentes nombres, y es probable algunas lo cambien luego, si los análisis más exhaustivos asocian el gusano con alguna familia de virus ya conocida. Por lo pronto, existe un W32/Avril (diciembre 2002), identificado también como "Avron" (http://www.vsantivirus.com/avron.htm).

MessageLabs ha llamado a este gusano "Naith", mientras que Symantec lo ha bautizado como "W32.Lirva.A".

Para agregar un poco más de confusión, Sophos lo llama "W32/Avril-A", mientras que McAfee lo llama "W32/Lirva.b@MM" y Trend Micro lo denomina "WORM_LIRVA.A". Por lo visto solo McAfee reconoce la existencia de la variante anterior que acabamos de mencionar.

La razón de denominarlo "Avril" ("Lirva" es "Avril" escrito al revés), se debe a que el gusano en determinado momento abre el navegador en la página Web de la cantante Avril Lavigne, además de hacer múltiples referencias a la misma.

El gusano, escrito en Visual C++, puede propagarse vía correo electrónico, IRC, ICQ y KaZaa.

Utiliza el Outlook y Outlook Express de Microsoft, para buscar en las carpetas "Elementos enviados" y "Bandeja de entrada", direcciones electrónicas a las que luego se envía.

También recoge direcciones de la propia libreta de direcciones de Windows (.WAB), y examinando documentos con las siguientes extensiones:

.DBX
.EML
.HTM
.HTML
.IDX
.MBX
.NCH
.SHTML
.TBB

El asunto de los mensajes enviados, es seleccionado al azar de la siguiente lista:

Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger

El archivo adjunto (el propio gusano), puede tomar uno de los siguientes nombres:

AvrilLavigne.exe
AvrilSmiles.exe
CERT-Vuln-Info.exe
Cogito_Ergo_Sum.exe
Complicated.exe
Download.exe
IAmWiThYoU.exe
MSO-Patch-0035.exe
MSO-Patch-0071.exe
Readme.exe
Resume.exe
Singles.exe
Sk8erBoi.exe
Sophos.exe
Transcripts.exe
Two-Up-Secretly.exe

Como texto, el mensaje puede traer uno de los siguientes:

Texto 1:

Restricted area response team (RART)
Attachment you send to [nombre sacado del campo "Para:"]
is intended to overwrite start address at 0000:HH4F
To prevent from the further buffer overflow attacks
apply the MSO-patch.

Texto 2:

Microsoft has identified a security vulnerability in
Microsoft® IIS 4.0 and 5.0 that is eliminated by a
previously-released patch. 
Customers who have applied that patch are already
protected against the vulnerability and do not need to
take additional action.
Microsoft strongly urges all customers using IIS 4.0
and 5.0 who have not already done so to apply the patch
immediately. 
Patch is also provided to subscribed list of Microsoft
Tech Support: 

Texto 3:

Avril fans subscription
FanList admits you to take in Avril Lavigne 2003
Billboard awards ceremony
Vote for I'm with you!
Admission form attached below

El gusano utiliza su propia rutina SMTP para enviarse, de modo que no depende del cliente de correo instalado para hacerlo.

Utiliza la configuración de la cuenta SMTP por defecto del usuario infectado, dato que obtiene de la siguiente rama del registro:

HKCU\Software\Microsoft\Internet Account Manager
\Accounts\[Cuenta predeterminada]\SMTP Server

El gusano intenta enviarse a toda la lista de contactos del ICQ. El adjunto toma el mismo nombre de alguno de los usuarios presentes en dicha lista.

El gusano chequea cada 35 segundos la presencia de cualquier proceso en memoria cuyo nombre coincida con alguno de la siguiente lista (pertenecen a conocidos antivirus, cortafuegos, etc.), y lo elimina:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIND.EXE
CLAW95.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
ECENGINE.EXE
EFINET32.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
F-PROT.EXE
FPROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

También intentará terminar cualquier aplicación en memoria cuya ventana contenga alguno de los nombres de la siguiente lista:

anti
Anti
AVP
McAfee
Norton
virus
Virus

El gusano se copia a si mismo en las carpetas \Windows\System32 y \Windows\System, con nombres de 11 caracteres seleccionados al azar. Por ejemplo:

C:\Windows\System\A33AAAAgbab.EXE
C:\Windows\System32\c5edc58aEff.EXE

También se agrega al registro, para autoejecutarse desde alguno de esos archivos, cada vez que Windows se reinicia:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Avril Lavigne - Muse" = "C:\Windows\System\c5edc58aEff.EXE"

También se crean copias del gusano en la carpeta de archivos temporales con los mismos nombres anteriores. Por ejemplo:

C:\Windows\TEMP\A33AAAAgbab.EXE
C:\Windows\TEMP\c5edc58aEff.EXE

También crea un archivo con el mismo nombre de uno de los adjuntos recibidos con el mensaje, y otro con el mismo nombre pero extensión .TFT, por ejemplo:

C:\Windows\TEMP\AvrilLavigne.exe
C:\Windows\TEMP\AvrilLavigne.TFT

Luego crea cuatro copias de si mismo, con nombres al azar, dentro del directorio de la papelera de reciclaje, y agrega una línea apuntando a uno de ellos en el archivo AUTOEXEC.BAT, por ejemplo:

@win \RECYCLED\FF177Fe6.exe

También es creado un archivo llamado "avril-ii.inf" en el directorio \Windows\TEMP, que solo contiene un mensaje del autor del gusano:

2002 (c) Otto von Gutenberg
Made in .::]|KaZAkHstaN|[::. As stated before, purpose is only educational, however...

I'm back to the scene with one more gift |Avril-II| (remember 'A' version of Avril-II)
HINT:NB: NEVER ACCEPT GIFTS FROM THE STRANGER
Avril-II is commonly dangerous because of its over-trojaned issues
Greetz to Brigada Ocho (http://[xxx]/~b8), Darkside Project (http://[xxx].dtn.ru) and Weisses Fleisch Project (http://[xxx].h1.ru)
Many thankx to my muse Avril Lavigne whose beauty causes work to flow rapidly
New features included: ICQ/IrC/ShaReD (urgently persuade to check it instantly)
BackOrifice-server dropper will be included next time

Cheerz, Otto (www.[xxx].h1.ru)

También se copia en la carpeta de archivos compartidos del KaZaa con alguno de los nombres usados en los adjuntos a los mensajes. La presencia del KaZaa y la ubicación de su carpeta compartida, la obtiene de la siguiente entrada:

HKEY_CURRENT_USER\Software\KaZaA\Transfer\DlDir0

El virus busca además la presencia de la librería ICQMAPI.DLL para determinar la ubicación del programa ICQ y de sus archivos, examinando la siguiente rama del registro:

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\
App Paths\ICQ.EXE\Path

Utiliza las funciones API del ICQ para enviarse a si mismo a toda la lista de contactos.

Crea además un archivo SCRIPT.INI en la carpeta del cliente de IRC, mIRC, con las instrucciones para propagarse a todos los usuarios que participen en el mismo canal de chat. Cuando se produce la conexión, el gusano obliga a la víctima a conectarse al canal "#avrillavigne".

Si la versión de Windows instalada es NT, 2000 o XP, el gusano se registra a si mismo como un servicio (disponible para todos los usuarios).

El gusano examina también si la computadora está conectada a una red. Si no lo está, intentará conectarse a Internet usando el acceso telefónico a redes (DUN), y el conectoide por defecto.

Para prevenir la infección, el propio gusano tiene implementado un "mutex", la presencia de la siguiente clave en el registro:

HKEY_LOCAL_MACHINE\Software\OvG
"Avril Lavigne" = "AVRIL_LAVIGNE_LET_GO"

Si usted crea dicha clave, puede prevenir infectarse. Por supuesto, no debe tomarse como una protección a prueba de todo, pero ayuda si se la complementa con la política de siempre, antivirus al día, no abrir adjuntos no solicitados, etc.

El gusano posee una rutina de robo de contraseñas, las cuáles obtiene del caché de passwords de Windows, y luego envía a la dirección del supuesto autor: "otto_psws@smtp.ru".

Si el gusano se ejecuta el día 7, 11 o 24 de cualquier mes, se activa una rutina que abre una ventana del navegador usado, con la siguiente dirección (página oficial de la cantante Avril Lavigne):

http://www.avril-lavigne.com

Luego, el texto "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg" es desplegado en forma continua en la pantalla del monitor, junto a un efecto gráfico de figuras geométricas de diversos colores que cubren toda la pantalla. Esto obligará la mayoría de las veces a apagar la computadora en caliente para retomar el control, con el consiguiente riesgo de perder la información no almacenada aún en el disco.

El gusano utiliza en algunos casos la etiqueta IFRAME para explotar la falla que permite que el adjunto se ejecute por el solo acto de leer o visualizar el mensaje (ms01-020 Iframe exploit).

En otras ocasiones, el texto del mensaje es HTML puro sin la etiqueta IFRAME (la infección ocurre solo al abrir el adjunto con un doble clic).


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Herramientas para quitar el W32/Avril.B y C de un sistema infectado

Panda
Descargue PQREMOVE de este enlace (1.2Mb) y ejecútelo en su sistema:
(*) Panda Quick Remove es Copyright (C) Panda Software 2003.

 Kaspersky Labs
Descargue y ejecute la utilidad CLRAV desde este enlace (143 Kb) y ejecútelo en su sistema:
(*) CLRAV es Copyright (C) Kaspersky Lab 2000-2003. All rights reserved.

Symantec
Descargue y ejecute la utilidad FixLirva.exe (166 Kb) desde este enlace y ejecútelo en su sistema:
(*) FixLirva es Copyright (C) Symantec 2003.


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Avril Lavigne - Muse

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit  c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre todas las líneas que contengan la orden "@WIN [nombre del gusano]" si ésta existiera:

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

W32/Avril.C. Nueva variante que descarga troyano BO
http://www.vsantivirus.com/avril-c.htm

W32/Avril.A. Roba contraseñas, borra antivirus, infecta red (más)
http://www.vsantivirus.com/avril-a.htm

W32/Avron. Roba contraseñas, borra antivirus, infecta red
http://www.vsantivirus.com/avron.htm


Actualizaciones:
10/ene/03 - Herramienta PQRemove de Panda



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com