|
VSantivirus No. 1055 Año 7, Miércoles 28 de mayo de 2003
W32/Holar.H. Destructivo gusano usa e-mail y P2P
http://www.vsantivirus.com/holar-h.htm
Nombre: W32/Holar.H
Tipo: Gusano de Internet
Alias: Holar, W32/Holar.H@MM, I-worm.Holar.H@mm, Win32/Holar.H, W32/Holar.h@MM, New MSVB P2P, W32.Hawawi.Worm, WORM_HOLAR.G, W32/Hawawi@mm,
W32/Holar-H, I-Worm.Hawawi.e, W32/Wlots
Fecha: 28/may/03
Tamaño: 56,614 bytes
Variante de W32/Holar.D (ver http://www.vsantivirus.com/holar-d.htm).
Intenta propagarse vía e-mail y a través de las redes de archivos compartidos P2P.
Consiste en tres componentes principales. Un dropper (libera a los demás componentes), el gusano propiamente dicho (24,064 bytes) y la librería SMTP para el envío vía e-mail (25,737 bytes).
El "dropper" es un archivo que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".
En este caso, el dropper libera y ejecuta los otros dos componentes mencionados antes.
El gusano crea un contador que aumenta en cada ejecución. Al llegar a la ejecución número 30, intentará borrar todos los archivos del disco duro. Al mismo tiempo muestra varias ventanas de
diálogo con los siguientes mensajes (incluyendo una vacía):
LOVE
[OK]
PEACE
[OK]
HOME
[OK]
HAPPINESS
[OK]
These things Can't be Found as long
as Bush & Jews Are aLive :)
[OK]
Made By ZaCker In 2003-03-30 :)
[OK]
A medida que el usuario las cierra o pulsa en el botón [OK],
se van eliminando los archivos del disco C y finalmente reinicia la computadora.
El gusano utiliza su propio motor SMTP para enviarse como correo electrónico infectado, con varios asuntos y textos.
En las primeras muestras, todos los mensajes tenían el mismo
remitente (Dispatch@McAfee.com), pero esta dirección
falsa, también puede ser tomada al azar, de algunos archivos y entradas del registro
de la máquina infectada.
Asunto: '''*< Love Speaks it all >*'''
Texto:
Hii
Try this great program allowing u to translate 100
languages .just write a passage in english and chose a
language to get the traslation one of my friends used it
with his arabian gf and it worked successfully ;)
so , Now we can say ' Love Speaks it All ' :)
Asunto: Co0o0o0o0oL
Texto:
i thing the subject is enough to describe the attached
file ! check it out and replay your opinion
Cya
Asunto: Fw:
Texto:
You're gonna love it ;)
delete it after reading , Professor :P
Asunto: Heeeeeeeeeeeeeeeey
Texto:
i've got this surprise from a friend :)
it really deserves a few minutes of your time.
Bye
Asunto: Wussaaaaaaaap?
Texto:
Should i email u first to email me?
u don't know how much ur emails mean to me.
i wish u like this email and plzz don't forget me :)
Asunto: WoW But not for NoW
Texto:
coz i couldn't get the other part of it ,
any way , check it out
having alil thing is better than nothing :P
Asunto: y0 Ain't Got Shyt !
Texto:
All u can get is burning ur self
Coz all we can do is to watch, nothing for us to touch :(
Asunto: Why Do We FOk?
Texto:
let me answer ,,,
hummmmmmmmm
Coz we Burn Our selves by watching ********** like the
one i attached :P
Asunto: Heeelllooo , anybody home????
Texto:
i tried many times to send u this email but ur account was
out of storage as i think any way , make sure that i didn't
and i won't forget u :)
Cya Forgotten :P
Asunto: Why did u send me this shyt?
Texto:
THANX BUT I DON'T ACCEPT SEX MATERIALS FROM
STRANGERS. I SAW THEM N I WONDERED HOW U COULD
DO SO ?
I REATTACHED THE SHYT U SENT
PLEASE DON'T EMAIL ME ,
Asunto: Re:Hi
Texto:
No thanx , keep it for you :)
Asunto: Lo0o0o0o0o0o0o0o0o0o0o0o0oL
Texto:
Measure your intelligence , the power of your mind and the
speed of your reaction by answering several Qs , don't
forget to send me your mark.
I took 3.5/10 :P
Let's see who is more intelligent than the other!
Good Luck
Asunto: hurry up !!!
Texto:
this is the last one i could find ,
Don't forget , send me the project in a zipped file :)
Bye
Asunto: To Early To Have Sex!
Texto:
When i saw it i didn't believe that she was only 8 yrs old.
but when i saw the blood and heard the voice of her :( i
got Shocked
Asunto: Fw:Send it to all of the ppl u love
Texto:
Don't Believe ur self, I don't Love Ya :P
But i Don't know why i sent this to u.
Make use of it , Bye ;)
Asunto: Surpise !
Texto:
I'm in a harry ,
Send me any clip with voice like the one i attached .
And stop sending the booooring pictures
For your elegant Taste
elegant ppl should satisfy thier taste with elegant
things ;)
Asunto: Again?
Texto:
I sent this email to another body :P and he replayed saying
Thanx !! i always write your email wrongly.
Hummm, if u like it replay to me , and don't forget to
write ur signature to make sure that i didn't send the
email to a wrong one ;)
Asunto: Who are you??????
Texto:
i'm fine , thanx for asking :)
and thanx for the nice attachements.
but unfortunately, i don't remember you
i will be waiting for u emaill to remind me of your self.
Asunto: Hummm , i hope u accept this show as an apology.
Texto:
The Spanish Beauty
it's a mix of the Arabian beauty & the european grace !
satisfy your eyes with the beauty that u have never seen ;)
Asunto: I've Got it :)
Texto:
I've got it from KaZaA network ,
it seems not to be full but that's all i could find :(
Asunto: Helloooooooo
Texto:
I've got your email , but you forgot to upload the
attachments. Don't be selfish , i sent you all the files i
have, send me anything :(
Asunto: If u are booooored ...
Texto:
i found it in my Recycled , i know u love this kind of
thing ;) attachment :) bye
Asunto: Dispatch@McAfee.com
Texto:
Virus Alert !
Dear User,
McAfee.com Has recieved an infected message from you
.We believe that you are infected with Win32/HaWawi@MM
Virus.
Please download the attached tool (ToolAv01w32) which
will help you to clean your PC.
For more information :
*Create an email addressed to virus_research@nai.com.
Your name, phone number, address, and email address
Operating system:
Antivirus program:
Anti virus engine version (e.g. 4.1.20)
DAT file version (e.g. 4.0.4140)
Browser version
Nature of problem
Uno de los siguientes archivos adjuntos (el mismo archivo con distintos nombres):
Aint_it_Funny.pif
AniMaL_N_Burning_Ladies.pif
Beauty_VS_Your_FaCe.pif
Broke_ass.pif
Come_2_Cum.pif
Endless_life.pif
Famous_PpL_N_Bad_Setuations.pif
Gurls_Secrets.pif
HAwa.pif
HaWawi_N_Hawaii.pif
Hearts_translator.pif
Hot_Show.pif
How_to_improve_ur_love.pif
Leaders_Scandals.pif
Lo0o0o0o0oL.pif
Real_Magic.pif
Shakiraz_Big_ass.pif
Short_vClip.pif
Sweet_but_smilly.pif
Tears_of_Happiness.pif
Tedious_SeX.pif
Teenz_Raper.pif
The_Truth_of_Love.pif
ToolAv01w32.pif
unfaithful_Gurls.pif
White_AmeRica.pif
XxX_Mpegs_Downloader.pif
Para propagarse a través de las redes de intercambio de archivos, el gusano crea copias de si mismo con los nombres vistos antes (ver lista de archivos adjuntos), en las carpetas compartidas correspondientes.
En ocasiones, también parece buscar al azar (entre el 20 y el 25 de cada mes), archivos con las extensiones .JPG, .DOC, .PPS, .RAM y .ZIP, y se copia a si mismo también con esos nombres (pero con la extensión .PIF) en el mismo directorio System.
El gusano crea además los siguientes archivos con los atributos de ocultos (+H):
C:\Windows\System\Explore.exe
C:\Windows\System\SMTP.ocx
Realiza las siguientes modificaciones en el registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Explore = c:\windows\system\Explore.exe
HKEY_CURRENT_USER
DeathTime = [contador]
Esta última entrada es el contador mencionado al principio.
Reparación manual
Deshabilitar las carpetas compartidas por programas P2P
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior, aunque seguramente, si la rutina destructiva se llegó a ejecutar, la única solución efectiva sea reinstalar todos los programas y aplicaciones, incluido Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Explore = c:\windows\system\Explore.exe
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_Current_User
\Software
\Kazaa
\LocalContent
5. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
dir0 = 012345:C:\Windows\System
dir1 = 012345:C:\Windows\System
[etc.]
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
30/may/03 - Alias: W32/Holar-H, I-Worm.Hawawi.e, W32/Wlots
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|