Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Oror.B. Borra archivos y antivirus, usa IRC y KaZaa
 
VSantivirus No. 848 - Año 7 - Sábado 2 de noviembre de 2002

W32/Oror.B. Borra archivos y antivirus, usa IRC y KaZaa
http://www.vsantivirus.com/oror-b.htm

Nombre: W32/Oror.B
Tipo: Gusano de Internet
Alias: W32/Oror-B, W32/Roro.B-mm, W32/Roro.B, W32/Roro.B@mm, WORM_OROR.B, W32.HLLW.Oror@mm
Fecha: 1/nov/02
Tamaño: 131,072 bytes
Plataforma: Windows 32-bits
Fuente: Panda, Sophos

Este gusano, escrito en Visual C++ 6.0, puede borrar archivos críticos del sistema además de deshabilitar la mayoría de los antivirus instalados en la computadora infectada. Los archivos borrados pueden ser de todas las unidades de disco accesibles, tanto locales como de red. También elimina los accesos directos a diversas aplicaciones.

Para propagarse utiliza el correo electrónico, la red Peer-To-Peer KaZaa (que permite intercambio de archivos entre usuarios), y los canales de IRC.

Puede ejecutarse con solo leer el mensaje infectado, o al visualizarlo mediante el panel de vista previa en el Outlook. Para ello se aprovecha de una conocida vulnerabilidad en las etiquetas de tipo iframe.

Las características de los mensajes infectados son variables (eso hace difícil su identificación a simple vista), pudiendo tener algunos de los siguientes elementos:

Un "Asunto" seleccionado al azar de esta lista:

!
!!
..
:)
:>
:pPpP
;)
;))
~pPp
Bla Bla
Boom
Boom
Ei dupe
Happy
Hello
HeY
Hey
Hey Ya
Hi
Hi Again
Hi There Zdrasti
HoWie
Ohoo
Pisamce
Privet
TinKi WinKy
Wow
Zdr Otnovo
ZzZz

El adjunto, puede tener uno de los siguientes nombres:

[Tnt]gen.exe
Blondes.exe
Blondies.exe
Ie_0274_bg.exe
Iguana1.0_skin.exe
Yahoo!Autumn.exe
Yahoo!Chess.exe
Yahoo!Tomcats.exe

Para activarse, no es necesario abrir el adjunto. De cualquier modo, si en las versiones actualizadas del Internet Explorer y Outlook Express que tienen la falla de las etiquetas "iframe" corregidas, se acepta la apertura y ejecución del archivo, la infección también se produce.

Cuando se ejecuta, el gusano muestra una ventana con un mensaje de error falso, para encubrir su verdadero cometido:

Windows

Cannot open file: it does not appear to be a valid program
If you downloaded this file, try downloading file again.

[   Aceptar   ]

También borra archivos y accesos directos que contengan algunas de estas palabras en sus nombres:

avp
black
cillin
ice
kaspers
labs
mcafee
norton
panda
pc
virus
zone

También busca en el menú de inicio de usuario (C:\Windows\Menú Inicio\Programas\), accesos directos y archivos conteniendo algunas de las siguientes palabras, todas relacionadas con conocidos antivirus y cortafuegos:

black
panda
shield
guard
scan
mcafee
nai_vs_stat
iomon
navap
avp
alarm
f-prot
secure
labs
antivir

Cuando el gusano se copia por primera vez al sistema, lo hace en cualquiera de los subdirectorios de la carpeta "C:\Archivos de programa", con el nombre de la carpeta elegida, pero agregándole al mismo una de las siguientes cadenas:

16
32
2k

Ejemplo:

Si el directorio en que se copia se llama "C:\Archivos de programa\Accesorios", el gusano se copia allí con el nombre de "Accesorios16.exe", o "Accesorios32.exe", o "Accesorios2k.exe".

También crea una copia de si mismo en el directorio C:\Windows, con un nombre al azar.

Además, crea un grupo de archivos que usa para guardar la información de las direcciones de correo a las que se envía.

En ocasiones, crea otro archivo en el directorio System de Windows, con un nombre siempre diferente, pero coincidente con el nombre de cualquier otro archivo del mismo directorio (C:\Windows\System). Pero como en el caso anterior, agregándole las cadenas "16", "32" o "2k" antes del .EXE.

Por ejemplo, si el nombre del archivo elegido es "MSConfig.exe", se copia como "MSConfig16.exe", etc.

También crea las siguientes entradas en el archivo C:\Windows\WIN.INI para autoejecutarse en todos los próximos reinicios del sistema.

[windows]
run = C:\Windows\System[nombre variable]

Además, crea la siguiente clave en el registro, con el mismo cometido de ejecutarse en forma automática al reiniciarse Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre variable] =
C:\Archivos de programa\Accesorios\[nombre variable]

También podría ser:

[nombre variable] =
C:\Program Files\[nombre directorio]\[nombre variable]

El gusano también modifica la siguiente entrada en el registro:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = C:\Windows\[nombre variable] "%1" %*

Esto hace que el gusano se ejecute cada vez que se llame un archivo .EXE (cualquier programa o aplicación).

Además, hace los cambios para poder enviarse a través de los canales de chat visitados en IRC (jamás acepte archivos no solicitados), y de la red KaZaa.


El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: Tools > Options.

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.


Para eliminar el gusano de un sistema infectado

Nota: Los archivos y programas sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Limpieza del registro

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del gusano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

  Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = C:\Windows\[nombre variable] "%1" %*

6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (C:\Windows\[nombre variable]) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

[nombre variable] =
C:\Archivos de programa\Accesorios\[nombre variable]

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Ejecutar antivirus

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Editar el archivo WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[Windows]
run = C:\Windows\System[nombre variable]

Debe quedar como:

[Windows]
run=

3. Grabe los cambios y salga del bloc de notas.

4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Vuelva a ejecutar sus antivirus actualizados.


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
06/nov/02 - Alias: W32/Roro.B-mm, W32/Roro.B, W32.HLLW.Oror@mm
06/nov/02 - Alias: W32/Roro.B@mm, WORM_OROR.B



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS