Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Holar.F. Puede borrar archivos del duro
 
VSantivirus No. 1309 Año 8, viernes 6 de febrero de 2004

W32/Holar.F. Puede borrar archivos del duro
http://www.vsantivirus.com/holar-f.htm

Nombre: W32/Holar.F
Tipo: Gusano de Internet
Alias: Holar.J, W32/Holar-J, WORM_HOLAR.F, W32.Galil.F@mm, I-Worm.Holar.f
Plataforma: Windows 32-bit
Fecha: 5/feb/04
Tamaños: 67,934 bytes (dropper), 29,183 Bytes (mailer)

Gusano que se propaga por correo electrónico, vía SMTP (directo), o vía Microsoft Outlook y Outlook Express. También intenta propagarse por MSN Messenger.

Cuando se ejecuta, muestra un mensaje de error falso con el siguiente texto:

The WinZip Wizard cannot open this file it does
not apear to be a valid archive. if you downloaded
this file, try downloading it again. if you want
to add this file to an archive, first create or
open the archive, then drop the file again.
[ OK ]

El gusano consta de dos componentes. El primero actúa como dropper (el que libera el archivo del gusano en el sistema). Este componente los siguientes archivos, y luego ejecuta al componente principal, SYSCHK.EXE:

c:\windows\mizzabbat.exe
c:\windows\system\smtp.ocx
c:\windows\system\syschk.exe

También crea la carpeta SYS32S y el siguiente archivo:

c:\windows\sys32s\zacker.exe

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).

Crea la siguientre entrada en el registro para autoejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemChecker = c:\windows\system\syschk.exe

El gusano agrega también la siguiente entrada, que utiliza como contador:

HKEY_CURRENT_USER
Cya = "1"

Cada vez que se ejecuta, el valor en CYA es aumentado en uno.

El gusano también crea los siguientes archivos CAB, conteniendo el archivo RUNHELP.INF:

c:\runhelp.cab
c:\sys32s\runhelp.cab

RUNHELP.INF intenta ejecutar el archivo ZACKER.EXE (el gusano propiamente dicho).

También se crea un archivo llamado FOLDER.HTT en la carpeta Web de Windows:

c:\windows\web\folder.htt

NOTA: En esa carpeta puede existir un archivo legítimo de Windows con el mismo nombre. No lo borre hasta estar seguro de que se trata de un componente del gusano.

Los mensajes enviados, poseen las siguientes características:

Asunto: [uno de los siguientes]

Another one?

BYEEE

Check this out ;)

Have it all :) bye

Here is the Emmy ;) Dont tell Sam abt it

Hey Wussap?

Heyyyy

Heyyyyyyyy Lola Wussaaap??

I can't be online tonight :(

I forgot to tell u , the other file is with Sam:)
bye

i have just got it , plz tell me if u need more.

i haven't ever thought i should send u my
briefcase to gain ur Trust .

I lost the other email , anyway i sent u all u
need

I thought you trusted me but ...

YO DUMP , IM SICK OF UR EMAILS , IF U LOSE
IT AGAIN I WONT GIVE IT TO U, SAVE IT

Texto del mensaje: [uno de los siguientes]

Hey wussap?

i lost Sara's Email plzz send this file to her :)
and tell her i can't be online tonight

heyyy Wait for more :)

anyway , i sent u something u r gonna love ;)
cya tomorrow

i just wanted to say sorry for last night and ..
i wish u accept this as an apology bye dear

elegant ppl should satisfy thier taste with
elegant things ;)

I've got your email , but you forgot to upload
the attachments.

Don't be selfish , i sent you all the files i
have, send me anything :(

heyyyy i tried many times to send u this email
but ur account was out of storage as i think any
way , make sure that i didn't and i won't forget
u :) Cya Forgotten :P

i thing the subject is enough to describe the
attached file ! check it out and replay your
opinion

Hiiiiiii i've got this surprise from a friend :)
it really deserves a few minutes of your time.

Never mind !

Attachments

See the attatched file

you seem to be mad @ me coz i didn't send u
anything for along time, but unfortunately, i
don't remember you

i didn't forget u , but i was kinda busy ,
i've got all of ur emails thanx :) and i hope u
accept this one as an apology.

gift :)

Surprise!

i'm fine , thanx for asking :) and thanx for
the nice attachments.

i will be waiting for u emaill to remind me
of your self.

Hummm , i hope u accept this show as an apology.
save it for hard times

Happy Times :)

Useful

Very funny

hey wuts up? i found this amazing file in my
Recycled , i know u love this kind of things ;)
cyaaa

you have to see this! amazing!

Datos adjuntos: [variables, con las siguientes extensiones]

.bhx
.exe
.hqx
.mim
.uu
.uue
.xxe

El gusano es capaz de borrar todos los archivos de la máquina infectada, que tengan las siguientes extensiones, o renombrarlos con las extensiones mostradas antes:

.asf
.avi
.doc
.jpg
.mdb
.mpe
.mpeg
.mpg
.pps
.ram
.rar
.rm
.xls


Reparación manual

NOTA: Si se activó la acción destructiva de este gusano, deberá restaurar el sistema desde una copia de respaldo, o reinstalándolo.

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\runhelp.cab
c:\windows\mizzabbat.exe
c:\windows\sys32s\runhelp.cab
c:\windows\system\smtp.ocx
c:\windows\system\syschk.exe

Borre también la carpeta SYS32S y su contenido:

c:\windows\sys32s\


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada que contenga el siguiente:

SystemChecker

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER

5. Pinche en la carpeta "HKEY_CURRENT_USER" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada que contenga el siguiente:

Cya

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS