Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/HLLW.Lama. Numerosos mensajes en español
 
VSantivirus No. 759 - Año 6 - Martes 6 de agosto de 2002

 W32/HLLW.Lama. Numerosos mensajes en español
http://www.vsantivirus.com/lama.htm

Nombre: W32/HLLW.Lama
Tipo: Gusano de Internet
Alias: W32.HLLW.Lama, Bloodhound.VBS.Worm, Win32/Alma, W32/Lama, I-Worm.Alma
Fecha: 2/ago/02
Tamaño: 83,968 bytes, 89,088 bytes
Plataformas: Windows 32-bits

Este gusano se propaga utilizando el correo electrónico (a través de la lista de contactos de la libreta de direcciones del Outlook y Outlook Express), los canales de IRC a través del mIRC y las redes de compartir archivos entre usuarios (KaZaa).

Su principal carga destructiva es borrar archivos necesarios para el funcionamiento de conocidos productos antivirus.

Los mensajes infectados poseen numerosos asuntos, textos y adjuntos, todos en español, la mayoría con notorias faltas de ortografía, además de la utilización en la mayoría de los casos de un lenguaje obsceno. Incluso hay uno que simula ser un herramienta pata eliminar un reciente gusano:

Asunto: Limpia Tu Alma!
 Texto: Hola! Limpia Tu Alma Con Este Nuevo Programa! 
****** Limpia Tu Alma Con: Alma Star jajaja a mi si me funsiono pruebalo tu!!
 Datos adjuntos: Alma.exe

 Asunto: Un Test Muy Sexi!!
 Texto: Prueba Este Test Sexi jajajaja Cuidado Y Te Exitas
 Datos adjuntos: Test Sexi.exe

 Asunto: Yo Te Amo Pero...
 Texto: Yo Te Amo Pero Yu No Me Comprendes!! Mi Amor Por Ti Es Icreible Pero Tu No Lo Ves... (Mira El Archivo Y Te Daras Cuenta)
 Datos adjuntos: Lo Que Siento.exe

 Asunto: Shakira Y Cristina Aguilera Desnudas!!
 Texto: Hola, jejejjeje Mira Este Programita jajjaja Ta Bien Bueno ;)
 Datos adjuntos: Porn Stars.exe

 Asunto: Nuevo Antivirus!
 Texto: Hola Al Fin Y Consigo Un Buen Antivirus Aqui Te lo paso!
 Datos adjuntos: Norton Antivirus Gold Edition 2002.exe

 Asunto: Alerta!!
 Texto: A Qui Te Mando Un Parche De Windows Para Internet Explorer, El Parche Es Para El IFrame En Este Sitio Encontraras Mas Informasion http:/ msdn.microsoft.com/library/default.asp?url= /workshop/author/dhtml/reference/objects/IFRAME.asp
 Datos adjuntos: Parche.exe

 Asunto: !!Kamasutra El Arte Del Sexo!! ;)
 Texto: jejejeje Mira Este Chiquito Pero Efectivo Manual Sobre Como Hacer El AMor ;)
 Datos adjuntos: Kamasutra.exe

 Asunto: Borracho!! jajaja
 Texto: Mira Como Se Siente Estar Borracho jajajja, Es Verdadero :)
 Datos adjuntos: Cerveza.exe

 Asunto: SeX Player 2
 Texto: Este Es EL Mejor Programa Del mundo Puras Putas Y Putos Y Hacen Lo Que Les Digas!
 Datos adjuntos: Sex Player 2.exe

 Asunto: COMO ES UNA PUTA :)
 Texto: jejejeje Mira Como Se Siente Ser Puta! ;)
 Datos adjuntos: Soy Puta.exe

 Asunto: El Culito...
 Texto: jajaja Mira El Culito De Mi Prima Y Dime Que Te Parese!! ;) www.megaculos.com
 Datos adjuntos: Culo.exe

 Asunto: Msturbate!
 Texto: Este Es El Mejor Programa Para Masturbarte ;)
 Datos adjuntos: Masturbate.exe

 Asunto: Mi Mejor Follada!
 Texto: Haller Tuve Mi Mejor Follada Y La E Grabado En Un Programa Mirala Y Dime Si Te Gusta ;)
 Datos adjuntos: Mi Follada.exe

 Asunto: Miss Universo 2002 Desnuda!!
 Texto: Con Este Programa Puedes Ver A Miss Universo 2002 Desnuda totalmente!!
 Datos adjuntos: Miss Universe Nude.exe

 Asunto: Brasil Iso Trampa En El Mundial!!
 Texto: Con Este Programa Podras Ver Como Brasil Iso Trampa En El Mundial Korea Japan 2002!
 Datos adjuntos: TRAMPA DO BRASIL.exe

 Asunto: Cura Para Dadinu El Virus CPL!
 Texto: Hola Aqui Te Mando La Cura Para Dadinu El Virus CPL!
 Datos adjuntos: CPLREMOVE.exe

Cuando el gusano se ejecuta, realiza las siguientes acciones:

1. Se copia a si mismo en diversas ubicaciones y diferentes nombres, por ejemplo:

C:\Windows\Alma.exe 
C:\Test Sexi.exe 
C:\Norton Antivirus Gold Edition 2002.exe 
C:\Parche.exe 
C:\Trampa Do Brasil.exe 
C:\Cplremove.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000).

2. Borra los siguientes archivos pertenecientes a diversos productos antivirus:

C:\Archiv~1\Perav\Pav.Dll 
C:\Program Files\Perav\Per.Dll 
C:\Bases\Avp.Set 
C:\System32\Vshield.Vxd 
C:\Archivos De Programas\Norton Antivirus\Navdx.exe

3. Crea alguno de los siguientes archivos VBS (Visual Basic Script):

C:\Mi Alma Al Aire.vbs
C:\ErGrone.vbs

Los archivos .VBS creados utilizan Microsoft Outlook para enviar el gusano por correo electrónico a todos los contactos de la libreta de direcciones del programa, con las características descriptas arriba.

4. Muestra dos ventanas con los siguientes mensajes:

Warning
Mi Alma Destructiva Se A Activado
Lo Siento, Mi Alma Es Incontrolable
Te Gusta Mi Alma?
[    Si    ] [    No    ]

 Lama
ALMA BY RAZOR/GEDZAC
[    Aceptar    ]

5. Modifica el registro para autoejecutarse en próximos reinicios de Windows, y también para no volverse a enviar nuevamente por e-mail:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Alma = C:\Windows\Alma.exe

HKEY_CORRENT_USER\Software
ErGrone_sent yea

6. Crea el siguiente archivo:

C:\Alma Destructora.bat

Este archivo contiene el siguiente texto:

@cls
@For*at C:\autotest
@For*at A:\autotest

El gusano también intenta copiarse a si mismo a la carpeta usada por defecto para compartir archivos del KaZaa, usando nombres como los siguientes:

C:\Osama Bin Ladem Game.exe
Fifa World Cup Kora Japan 2002.exe
Gamecube All Tricks.exe
Hotmail Crack Tools.exe
Kaspersky Lab.exe
Madonna All Videos.exe
Norton Antivirus 2002.exe
Playstation 2 All Tricks.exe
The Sexy Nigths Show.exe

Cualquier usuario que baje y ejecute uno de estos archivos, infectará su computadora.

También se modifica el archivo SCRIPT.INI del mIRC, si este existe en la máquina infectada, para propagarse a través de los canales de chat.


Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos detectados como infectados por su antivirus.

Para modificar los cambios en el registro:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Alma

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CORRENT_USER
\Software

5. Pinche en la carpeta "Software" y en el panel de la derecha busque y borre la siguiente entrada:

ErGrone_sent yea

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
Alias: Win32/Alma, W32/Lama, I-Worm.Alma



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS