Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Hobble.H. Variante del "Hobble" solo para .NET
 
VSantivirus No. 879 - Año 7 - Martes 3 de diciembre de 2002

W32/Hobble.H. Variante del "Hobble" solo para .NET
http://www.vsantivirus.com/hobble-h.htm

Nombre: W32/Hobble.H (Alcaul)
Tipo: Gusano de Internet
Alias: I-Worm.Alcaul.af, W32.Hobble.H@mm, W32.Alcatap.Worm, W32/Hobbit.gen.
Fecha: 29/nov/02
Plataforma: Windows 32-bits
Tamaño: 11,264 bytes, 11,776 bytes

Esta variante del W32/Hobble se trata de un ejecutable .NET escrito en C# y compilado con MSIL que corre solo en .NET Framework.

Intenta propagarse usando la red Peer-To-Peer de KaZaa. Posee además la capacidad de enviarse a si mismo a todas las direcciones de correo encontradas en los archivos temporales de Internet con extensión .HT* (HTM y HTML), y a todos los contactos de la libreta de Microsoft Outlook y Outlook Express, además de finalizar los procesos de conocidos antivirus y cortafuegos.

El mensaje tiene estas características:

Asunto: RE:
Datos adjuntos: Topeace.exe

Texto del mensaje:
all we are saying, is give peace a chance. no to
war and terrorism.

Cuando se ejecuta "Topeace.exe", (el cuerpo del propio gusano), se muestra una ventana con el siguiente texto:

brigada ocho ::: "bringing the c# technology to the masses"
msil.mass by PerrunBoy ::: http:/ /vx.netlux.org/~b

El gusano intenta además, terminar con los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos:

_Avp32
_Avpcc
_Avpm
Ackwin32
Anti-Trojan
Apvxdwin
Autodown
Avconsol
Ave32
Avgctrl
Avkserv
Avnt
Avp
Avp32
Avpcc
Avpdos32
Avpm
Avptc32
Avpupd
Avsched32
Avwin95
Avwupd32
Blackd
Blackice
Cfiadmin
Cfiaudit
Cfinet
Cfinet32
Claw95
Claw95cf
Cleaner
Cleaner3
Dvp95
Dvp95_0
Ecengine
Esafe
Espwatch,
F-Agnt95
Findviru
F-Prot
F-Prot95
Fprot
Fp-Win
Frw
F-Stopw
Iamapp
Iamserv
Ibmasn
Ibmavsp
Icload95
Icloadnt
Icmon
Icsupp95
Icsuppnt
Iface
Iomon98
Jedi
Lockdown2000
Lookout
Luall
Moolive
Mpftray
N32scanw
Navapw32
Navlu32
Navnt
Navw32
Navwnt
Nisum
Nmain
Normist
Nupgrade
Nvc95
Outpost
Padmin
Pavcl
Pavsched
Pavw
Pccwin98
Pcfwallicon
Persfw
Rav7
Rav7win
Rescue
Safeweb
Scan32
Scan95
Scanpm
Scrscan
Serv95
Smc
Sphinx
Sweep95
Tbscan
Tca
Tds2-98
Tds2-Nt
Vb6
Vet95
Vettray
Vscan40
Vsecomr
Vshwin32
Vsstat
Webscanx
Wfindv32
Zonealarm

Luego agrega la siguiente entrada en el registro, con la intención de poder propagarse a través del KaZaa:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
Dir0 = 012345:
[carpeta con archivos del gusano]

El gusano se copia en dicha carpeta (que puede ser la actual), con los siguientes nombres:

Avril_lavigne.exe
Brigadaocho.net.exe
Drunken_pope_pics.exe
Hitman2fulldownloader.exe
How_to_get_chicks_on_your_bed.exe
Scan.net.exe
Shakira.exe
Teach_yourself_c#_in_1_week.exe
Teach_yourself_cobol.net_in_21_days.exe
Tekken4_full_downloader.exe
Visual_studio.net2003_key.exe

Cualquiera de esos archivos descargados por otro usuario, y luego ejecutado, infectaría dicha computadora.

Finalmente, el gusano busca en toda la máquina infectada, archivos locales cuyas extensiones coincidan con este comodín: *.HT* (archivos .HTM, .HTML).

En ellos, busca la etiqueta "mailto:" para recolectar direcciones electrónicas, a las cuáles luego se enviará en mensajes infectados como el descripto antes.


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS