• Herramienta para quitar el W32/Bugbear.A de un sistema infectado

Detectado por primera vez en Corea el 21 de noviembre de 2002 y reportado por DialogueScience, Inc. (antivirus Dr. Web), fue catalogado por la compañía como de alta peligrosidad. Sin embargo, se han detectado pocos casos de infección en nuestros países (al 24/nov/02).

El código del virus (escrito en Microsoft Visual C++), tiene una mención a su origen (Republic of Korea), y una dedicación a AVAR (Association of anti Virus Asia Researchers), una organización que reúne a los desarrolladores de antivirus del continente asiático.

Se trata de un virus multi-componente, algunas de cuyas partes están encriptados.

Cuando se activa, el virus examina la memoria en busca de herramientas de análisis (Debug, etc.), monitoreo, cortafuegos y antivirus, y si encuentra alguno, "mata" sus procesos activos, finalizando su ejecución. Para esto, compara parte de los nombres de los procesos activos con la siguiente lista, presente en su código:

_np
anti
antivirus
avk
cicer
cillin
dbg
debu
explorewclass
fir
ice
iom
irmon
microsoft
mon
moniker
ms
nlab
office
pcc
program
prot
r n
scan
secu
smtpsvc
spy
vacc
view
vir

Luego de ello, el gusano muestra una ventana con el siguiente mensaje:

Make a fool of oneself
What a foolish thing you have done!

Esta advertencia (algo así como "Que tontería ha hecho usted"), es el preludio al borrado de todos los archivos del sistema en el disco duro, preservando solo las diferentes carpetas y los archivos que estén en uso en ese momento. De cualquier modo esto ocasiona la caída de Windows, y su imposibilidad de reinicio por los métodos normales.

Si no encontrara ninguno de los procesos en memoria mencionados, el virus no realiza el borrado de archivos (consecuentemente tampoco muestra la ventana de advertencia indicada). En cambio, procede a copiarse a si mismo en la siguiente ubicación:

C:\Windows\System\win[xxx].exe

Donde las [xxx] son caracteres al azar.

'C:\Windows\System' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

El nombre del archivo comienza con las letras WIN, pero continúa con caracteres al azar, más la extensión .EXE (en ocasiones puede ser .PIF).

Después de ello, el virus agrega el archivo mencionado al registro, en cada una de las siguientes claves, para de ese modo ejecutarse nuevamente en los siguientes reinicios de Windows:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

También cambia los datos de registración del Windows instalado, en alguna de las siguientes claves:

SOFTWARE\Microsoft\Windows NT\CurrentVersion
RegisteredOrganization = Trand Microsoft Inc.
RegisteredOwner = AntiVirus

SOFTWARE\Microsoft\Windows\CurrentVersion
RegisteredOrganization = Trand Microsoft Inc.
RegisteredOwner = AntiVirus

Al terminar, el virus permanece residente en memoria controlando la presencia de los programas mencionados antes. En caso de monitorearse cualquiera de ellos (antivirus, cortafuegos, etc.), procede a realizar la rutina destructiva ya descripta.

En el caso de no borrar los archivos del disco duro, el virus activa su rutina de envío masivo de mensajes infectados.

Las direcciones para enviarse las obtiene de los archivos cookies (archivos de texto con información utilizada por los diferentes sitios para facilitar la navegación del usuario). Para ello agrega cosas como "webmaster@" a los dominios listados en los cookies, para enviarse.

También las extrae de archivos .HTM (páginas Web) y .DBX (bases de mensajes), eludiendo aquellas direcciones que comienzen son "microsoft@". Las direcciones recolectadas son guardadas en la siguiente clave del registro:

HKEY_CLASSES_ROOT\Software\Microsoft\DataFactory

El envío lo hace mediante una conexión directa al servidor SMTP del usuario infectado.

La estructura de dichos mensajes es la siguiente:

Asunto:
Re: AVAR(Association of Anti-Virus Asia Reseachers)

Texto del mensaje:
AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish.

Datos adjuntos:
WIN[xxx].TXT (12.6 KB) MUSIC_1.HTM
WIN[xxx].GIF (120 bytes) MUSIC_2.CEO

Donde las [xxx] son caracteres al azar.

A un usuario poco atento, podrían parecerle cuatro adjuntos, pero en realidad son dos con extensiones .HTM y .CEO.

El intento de abrir el supuesto WIN[xxx].TXT (un aparente archivo de texto), en realidad ejecutaría un código en JavaScript dentro del archivo .HTM, al visualizarse el mismo en el navegador asociado.

Este código modifica el registro para hacer que los archivos .CEO sean del tipo ejecutables.

HKEY_CLASS_ROOT\.CEO
Default = "exefile"
Content Type = "application/x-msdownload"

Si luego de ello, el usuario intentara abrir el supuesto archivo de imágenes (WIN[xxx].GIF), se ejecutaría el archivo .CEO (la rutina destructiva del virus), dando como resultado la infección del sistema o el inmediato borrado de sus archivos, como se ha descripto antes.

Pero además, el virus hace uso de la conocida vulnerabilidad conocida como "Incorrect MIME Header vulnerability (MS01-020)", que afecta las versiones 5.01 y 5.5 de Outlook y Outlook Express, si el sistema no tiene el parche correspondiente.

MIME es un protocolo creado para el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el código contenido en el cuerpo del mensaje. Una manipulación de estas etiquetas le hacen creer al Explorer que se trata de un archivo de sonido o imagen, cuando en realidad se trata de un ejecutable.

Esto ejecuta el código del virus con solo verlo en el panel de vista previa, o al abrirlo para leerlo, sin necesidad de abrir y ejecutar deliberadamente el adjunto.

Más información en "Grave vulnerabilidad en extensiones MIME en Internet Explorer",
http://www.vsantivirus.com/vulms01-020.htm.

Si el virus no encuentra archivos cookies en el sistema y el sistema no está en ese momento conectado a Internet, el gusano realiza las mismas acciones que si hubiera encontrado algún software antivirus o de seguridad activo en memoria, o sea, comienza a borrar todos los archivos del disco duro. Además, la ventana con el texto "What foolish thing you've done" aparecería una gran cantidad de veces.

En este caso, se sugiere proceder a apagar inmediatamente la computadora (en lugar de ponerse a cerrar ventana tras ventana), ya que el daño sería mucho menor si se interrumpe el proceso de borrado. Por supuesto, un arranque desde disquete de inicio, limpieza de virus y posterior reinstalación de Windows, deberían realizarse. Sin embargo, al no haberse borrado todos los archivos, la probabilidad de recuperar el sistema tal cuál estaba, son mayores.

El gusano contiene una rutina (incompleta) que le permitiría propagarse a través de conexiones en red, copiándose como EXPLORER.PIF en los recursos compartidos.

El gusano intenta conectarse al sitio de Symantec (http://www.symantec.com), en un posible intento de ocasionar un ataque de denegación de servicio, desde todas las máquinas infectadas.

Si no hay una conexión a Internet activa (lo detecta al intentar conectarse a www.symantec.com, entonces el gusano copiará en el sistema y luego ejecutará, una copia del gusano W32/Funlove.4099 que Winevar ya trae en su propio código.

En el código del virus puede encontrarse este texto:

~~ Drone Of StarCraft~~

http://www.sex.com/

Herramienta para quitar el W32/Winevar.A de un sistema infectado

La herramienta FixWEvar de Symantec, limpia el virus de un sistema infectado, además de restablecer los cambios realizados en la configuración del sistema.

Descargue FixWEvar.com del siguiente enlace y proceda a ejecutarlo en su PC.

Descarga directa:

http://securityresponse.symantec.com/avcenter/FixWEvar.com (139 Kb)

Más información:
http://securityresponse.symantec.com/avcenter/venc/data/pf/w32.hllw.winevar.removal.tool.html

Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. En caso de haberse borrado todos los archivos del disco, una reinstalación completa sería necesaria.


Reparación de W32/Funlove

Para la reparación de la infección causada por el Funlove, siga estas instrucciones:

W32/Funlove.4099. No puede ser eliminado desde Windows
http://www.vsantivirus.com/funlove.htm

Asegúrese de ejecutar la herramienta "FLC_KILL9X.exe" como se indica allí.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WIN[xxx] = C:\Windows\System\WIN[xxx].EXE

Donde las [xxx] representan caracteres al azar.

4. Repita los pasos 2 y 3 para las siguientes entradas del registro:

HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\RunServices

HKEY_USERS\.DEFAULT\Software\Microsoft
\Windows\CurrentVersion\Run

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT\.ceo

6. Pinche en la carpeta ".ceo" y bórrela.

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT\Software\Microsoft\DataFactory

8. Pinche en la carpeta "DataFactory" y bórrela.

9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

SOFTWARE\Microsoft\Windows\CurrentVersion

10. Pinche en la carpeta "CurrentVersion" y en la ventana de la derecha busque los siguientes valores:

RegisteredOrganization = Trand Microsoft Inc.
RegisteredOwner = AntiVirus

11. Cambie el contenido de "RegisteredOrganization" y "RegisteredOwner", por el nombre de la compañía (o déjelo vacío) y del usuario registrado de Windows.

12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
25/nov/02 - Cambio del nombre y actualización de la descripción
25/nov/02 - Nuevos alias
26/nov/02 - Alias: W32.HLLW.Winevar, Win32/WineVar.A.Worm, Worm/Bride.C
26/nov/02 - Alias: W32/Brid.C, Win32.Braid.C, W32/Braid.c@MM, BRID.C
26/nov/02 - Alias: Win32/Braid.C.Worm, WORM_BRID.C, W32.Brid.C@mm
26/nov/02 - Alias: Alias: I-Worm.Bridex.c, W32.Brid.C@mm
26/nov/02 - Información sobre el Funlove
28/nov/02 - Herramienta FixWEvar.com


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com