Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Duload.C. Usa KaZaa y email, copia troyanos
 
VSantivirus No. 803 - Año 6 - Jueves 19 de setiembre de 2002

W32/Duload.C. Usa KaZaa y email, copia troyanos
http://www.vsantivirus.com/duload-c.htm

Nombre: W32/Duload.C

Tipo: Gusano de Internet (P2P)
Alias: Worm.P2P.Duload.c, Win32/HLLW.Duload
Fecha: 18/set/02
Tamaño: 22,528 bytes
Plataforma: Windows 32-bits

Este gusano, escrito en Visual Basic 6, a diferencia de versiones anteriores, además de propagarse a través de la red KaZaa, puede enviarse a través de mensajes infectados sin asunto ni texto, ni tampoco adjunto visible (está en su código HTML):

De: [usuario infectado]
Para: [destinatario]
Asunto: [vacío]
Datos adjuntos: [no son visibles]

Figura con el nombre de varios archivos que pueden resultar atractivos para quien los descargue a su máquina desde una carpeta compartida de otro PC, a través del KaZaa. Al ejecutarlos, se produce la instalación del gusano en la computadora del usuario, creándose los siguientes archivos:

C:\Windows\EB.EXE
C:\Windows\WINNTBB.EXE
C:\Windows\SHELL32.EXE
C:\Windows\System\SRV_PORTSCAN.DLL
C:\Windows\System\SRV_PWINFO.DLL
C:\Windows\System\SYSTEMRESTORER.EXE
C:\Windows\System\WINDRIVERS.EXE

En todos los casos, 'C:\Windows' y 'C:\Windows\System' pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como 'C:\WinNT', 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

Algunos de estos archivos son troyanos, que el gusano ejecutará en la máquina infectada, con el consiguiente riesgo para la seguridad del sistema.

  • EB.EXE  - Bkdr_Evilbot.A (Backdoor.Evilbot)
  • SRV_PORTSCAN.DLL, SRV_PWINFO.DLL - Bkdr_Lith.101.A (Lith.101.A)
  • WINNTBB.EXE -  Bkdr_Evilbot.A
  • WINDRIVERS.EXE - Bkdr_Gspot20.A (Gspot20.A, Backdoor.G_spot.20)

Luego, el gusano crea las siguientes entradas en el registro para autoejecutarse él y los troyanos descargados en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows System Restorer = C:\Windows\System\SystemRestorer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinNtBB = C:\Windows\WinntBB.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinRunners = C:\Windows\System\WinDrivers.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Shell32=Shell32.exe

También crea la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Duload
YouAreInfected = True

Además, genera la carpeta EXPLORER32 (C:\Windows\System\EXPLORER32) y se copia allí con los siguientes nombres:

12 SNES roms.exe
24 Genesis roms.exe
Adaware.exe
Aim Bomber.exe
Amy Smart Screensaver Crack.exe
AOL Hacker.exe
Att Broadband Uncapper.exe
borland c++.exe
Britney Spears Dance Beat Keygen.exe
Britney Spears Nude.exe
Britney Spears Screensaver Keygen.exe
CD Burner.exe
Counter Strike 1.5 Fix.exe
Counter StrikeCrack_WORKING.exe
Crack Games.exe
CSWallHack.exe
Delphi 5 Keygen.exe
Delphi 6 Keygen.exe
Delphi 7 Keygen.exe
Desktop Strippers Registered.exe
Drowning Pool Tribute.exe
Drowning Pool.exe
Eminem Screensaver Keygen.exe
Final Fantasy VII no CD crack.exe
Final Fantasy X.exe
Find porn on your computer.exe
Free AOL.exe
Free Apps.exe
Free Cable Uncapper.exe
Free Dsl Uncapper.exe
Free Dvds.exe
Free Everything.exe
Free Files.exe
Free Games.exe
Free Internet.exe
Free Movies.exe
Free Mp3s.exe
Free Music.exe
Free Porn.exe
Free Ps2 Games.exe
Free Xbox games.exe
Fucking Screensaver Keygen.exe
Game memory hacker.exe
GTA3 Invincible and all Weapons Cheat.exe
Hack Porn Passwords.exe
Half Life Hack.exe
Half-LifeCrack.exe
Hax0r your n3ighb0r.exe
Icq 2003a.exe
Icq 2003b.exe
Icq bomber.exe
Icq hacks.exe
Irc bomber.exe
Irc hacker.exe
Kaspersky AntiVirus Crack.exe
KazaaLite.exe
KaZaALite73.exe
Korn Screensaver.exe
Lesbians.exe
Masm.exe
Mcafee 6 crack.exe
Men In Black 2_FULL.exe
Microsoft Root Codes.exe
Mirc hacker.exe
Mirc Keygen.exe
Msdn Software Library.exe
Msdn.exe
Msn Bomber.exe
Msn Cracker.exe
Msn Hacker.exe
Never Winter Nights Crack.exe
Norton 2002 crack.exe
Norton 2002 Update.exe
Norton 2003.exe
Norton SafeDisk.exe
Pamela Anderson nude.exe
Pink Stripping Screensaver Crack.exe
Pirch Keygen.exe
Porn Passwords Gold.exe
Porno Movie Downloader.exe
Qwest Dsl Uncapper.exe
Roadrunner Cable Uncapper.exe
Root Any FreeBsd Box.exe
Shannon Elizabeth Screensaver Crack.exe
Shaw Cable Uncapper.exe
Speed Up Your Cable Connection.exe
Star Wars Episode 2.exe
Star Wars Episode 3 trailer.exe
SWAT uj.exe
Tasm.exe
Tiny Personal Firewall.exe
TooL Screensaver.exe
Turbo pascal.exe
Unreal Tournament 2k3 Cracker.exe
Unreal Tournament 2k3 Trainer.exe
Unreal Tournament 3 crack.exe
Updated Windows Kernel.exe
Visual Basic Crack.exe
Visual Basic Helper.exe
Visual Studio 6 Keygen.exe
Visual Studio.net Keygen.exe
Windows Xp CD Key Changer.exe
Windows XP Key.exe
Windows Xp Keygen.exe
Windows Xp Sp1 Crack.exe
Zone Alarm Pro Crack.exe

Para compartir estos archivos a otros usuarios del KaZaa, el gusano modifica la siguiente entrada del registro:

HKEY_CURRENT_USER\Software\KAZAA\LocalContent
DisableSharing=0


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

WinNtBB
WinRunners

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en las carpetas "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Shell32

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

7. Pinche en las carpetas "LocalContent" y en el panel de la derecha busque y borre la siguiente entrada:

DisableSharing

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Duload

9.  Pinche en las carpeta "Duload" y bórrela.

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS