Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Supova. Se propaga a través del KaZaa y Messenger
 
VSantivirus No. 735 - Año 6 - Viernes 12 de julio de 2002

W32/Supova. Se propaga a través del KaZaa y Messenger
http://www.vsantivirus.com/supova.htm

Nombre: W32/Supova
Tipo: Gusano de Internet
Alias: W32.Supova.Worm, W32.Kitty.Worm , W32/Supernova, W32/Kitty, WORM_SURNOVA.A, SURNOVA.A, Worm.P2P.Surnova, W32/Supova
Fecha: 11/jul/02

Por Jorge Machado (*)
jmachado@persystems.com


SUPOVA es un gusano de Internet, que se propaga masivamente entre los usuarios que comparten los servicios de la red KaZaa y a través de los contactos de mensajería instantánea de MSN Messenger, con un archivo infectado de 40 KB, contenido en una lista de atractivos títulos que pueden ser descargados de esta popular red.

Este gusano con formato PE (Portable Ejecutable) infecta Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000. 

La red compartida p2p (peer to peer) de KaZaa es muy famosa y popular, ya que permite descargar videos, música MP3, fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios, en forma simultánea. Para ello es necesario instalar en el sistema, su respectivo software propietario, el mismo que abre en la computadora del usuario el puerto 1214, el cual permite acceder a los equipos, a través de las siguientes instrucciones:

telnet IP-víctima 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 40900
Accept-Ranges: bytes
Date: Fri, 12 Jul 2002 08:12:25 GMT
Server: KazaaClient Jul 12 2002 03:12:25
Connection: close
Last-Modified: Wed, 26 Jun 2002 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html

Para infectar esta red, el autor debe tener instalado el software propietario de KaZaa, luego conectarse a este servicio y ejecutar el archivo infectado, con lo cual también infectará el equipo que esté usando, que asumimos sea ajeno (cabina pública, estación de trabajo de un centro laboral o de estudios, etc.) 

Cuando el archivo infectado es ejecutado el gusano muestra un falso mensaje de error:

HELLO-KITTY.exe
Application attempted to read memory at 0xFFFFFFFFh
Terminating application
[ Aceptar ]

Luego se auto-copia a la carpeta C:\Windows\Media con los siguientes nombres:

Age of empires 2 crack.exe 
Battle.net key generator (WORKS!!).exe 
Britney spears nude.exe 
CloneCD + crack.exe 
CloneCD all-versions key generator.exe 
DivX codec v6.0.exe 
DivX newest version.exe 
DivX patch - Increases quality.exe 
DivX pro key generator.exe 
DivX.exe 
Gamecube Emulator (WORKS!!).exe 
Grand theft auto 3 CD1 crack.exe 
GTA3 crack.exe 
Hack into any computer!!.exe 
Half-life ONLINE key generator.exe 
Half-life WON key generator.exe 
KaZaA media desktop v2.0 UNOFFICIAL.exe 
KaZaA spyware remover.exe 
Key generator for all windows XP versions.exe 
Key generator for over 1,000 applications (really!).exe 
Macromedia Dreamweaver MX Key Generator.exe 
Macromedia Flash MX Key Generator.exe 
Macromedia MX key generator (all products).exe 
Microsoft key generator, works for ALL microsoft products!!.exe 
Microsoft Office XP (english) key generator.exe 
Microsoft Office XP.iso.exe 
Microsoft Windows XP crack pack.exe 
Norton antivirus 2002.exe 
Quake 4 BETA.exe 
Star wars episode 2 downloader.exe 
Warcraft 3 battle.net serial generator.exe 
Warcraft 3 ONLINE key generator.exe 
Windows XP key generator.exe 
Windows XP serial generator.exe 
Winrar + crack.exe 
Winzip 8.0 + serial.exe 
XBOX emulator (WORKS!!).exe 
Xbox.info.exe

El gusano también se auto-copia al directorio de Windows con uno de los siguientes nombres aleatorios:

Alles-ist-vorbei.exe 
Desktop-shooting.exe 
Hello-Kitty.exe 
BigMac.exe 
Cheese-Burger.exe 
Blaargh.exe

Para ser ejecutado la próxima vez que se inicie el sistema el gusano modifica la llave del registro de Windows con uno de los nombres antes citados, que se encuentra infectado Ejemplo:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Supernova = C:\Windows\Hello-Kitty.exe

A su vez muestra el siguiente icono en el escritorio de Windows:

Simultáneamente un archivo de texto es copiado al directorio de Windows con un nombre aleatorio de 11 caracteres que se puede leer como:

W32.Supernova
-----------------------------------------
'Patch the leaks or the ship will sink'
-----------------------------------------

("Parche las goteras o el barco se hundirá").

El gusano usa la Libreta de direcciones del MSN Messenger del sistema infectado para autoenviarse a los contactos de la misma, con uno de los siguientes mensajes:

Hehe, check this out :-) 
Funny, check it out 
LOL!! See this :D 
LOL!! Check this out :) 
Hehe, this is fun :-)

Este gusano no tiene un payload destructivo, siendo su objetivo saturar a los servidores, estaciones de trabajo y PC domésticas que logre infectar.


(*) Jorge Machado es el director de Per Antivirus, http://www.perantivirus.com/, Lima-Perú


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Supernova

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
14/jul/02 - Alias: WORM_SURNOVA.A, SURNOVA.A, Worm.P2P.Surnova, W32/Supova



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS