Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/HLLW.Kazmor. Se propaga a través de la red KaZaa
 
VSantivirus No. 714 - Año 6 - Viernes 21 de junio de 2002

 W32/HLLW.Kazmor. Se propaga a través de la red KaZaa
http://www.vsantivirus.com/kazmor.htm

Nombre: W32/HLLW.Kazmor
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Kazmor
Fecha: 20/jun/02
Tamaño: 55,808 bytes
Plataformas: Windows 9x, Me, NT, 2000 y XP

Este gusano escrito en Borland Delphi, posee la capacidad de funcionar como un caballo de Troya del tipo 'backdoor', lo que permite a un atacante el acceso clandestino a la computadora infectada, obteniendo el control no autorizado de la misma.

Se propaga a través de redes locales usando los recursos compartidos. También intenta utilizar las redes de computadoras conectadas al KaZaa, el popular programa de intercambio de archivos entre usuarios.

El gusano simula ser una película, un juego, un programa relacionado con la pornografía o una aplicación, para engañar a los usuarios del KaZaa y lograr que estos lo descarguen y ejecuten.

Cuando el usuario ejecuta el archivo que contiene el virus, se activan las siguientes acciones:

1. El gusano se copia a si mismo en la carpeta donde Windows está instalado. Ejemplo:

C:\Windows\Windows.exe

2. Agrega la siguiente entrada al registro de Windows para autoejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = C:\Windows\Windows

3. Se abren (seleccionados al azar), algunos puertos TCP/UDP en la computadora, destinados a conectarse con un atacante remoto. Esto permite tomar el control de la computadora infectada comprometiendo su seguridad.

Si el atacante logra tomar el control, estas son algunas de las acciones posibles:

  • Lanzar un ataque de paquetes IP (Internet Protocol) (ver Glosario)
  • Enviar paquetes de IP falsas (spoofed IP) a direcciones seleccionadas por el atacante.
  • Descargar archivos de la computadora host
  • Robo de la información del host (contraseñas, información de la computadora y de los recursos compartidos, etc.).
  • Escanear puertos

El gusano intenta primero crear un script de Visual Basic llamado MSVXD.VBS. Este script busca unidades compartidas en red en direcciones IP seleccionadas al azar, y si las encuentra, se copia a si mismo en la siguiente ubicación de esas unidades:

\Windows\Start Menu\Programs\Startup\Real Player.exe

El gusano busca en el registro el nombre y ubicación de la carpeta compartida por el programa KaZaa, la carpeta desde donde otros usuarios pueden descargar archivos, y se copia allí numerosas veces utilizando nombres diferentes seleccionados al azar. Por ejemplo:

[tmd]star wars episode 2 - attack of the clones [1of1] 
jenna jameson - built for speed 
[DiVX] Lord of the rings 
[DiVX] Harry Potter and the sorcerors stone 
CKY3 - Bam Margera World Industries Alien Workshop 
cat attacks child 
PS1 Boot Disc 
Sony Play station boot disc 
How to hack websites 
AIM Account Stealer 
MSN Password Hacker and Stealer 
Hacking Tool Collection 
Windows XP 
macromedia flash 5.0 
DSL Modem Uncapper 
Internet and Computer Speed Booster 
ZoneAlarm Firewall 
Borland Delphi 6 Key Generator

Para propagarse necesita que el software KaZaa esté instalado en la máquina infectada.

Recomendamos utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el virus

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Windows         C:\Windows\Windows

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Glosario:

SPOOFING - "Spoofing" es la falsificación de la dirección IP de origen en los paquetes enviados.

IP SPOOFING - La técnica denominada IP Spoofing permite que un atacante tome la identidad de un host "confiable" (cambiando su dirección IP por la dirección de dicho) y obtenga de este modo accesos no autorizados a otros sistemas. En numerosos sitios (bajo Unix o Linux), existe un archivo denominado .rhosts conteniendo una lista de nombres de hosts que se consideran de confianza. Si un atacante se hace pasar por una de esas direcciones, puede llegar a ejecutar comandos en forma remota o logearse en el mismo sin una contraseña.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS