Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Yaha.F. Datos adjuntos: VALENTIN.SCR
 
VSantivirus No. 723 - Año 6 - Domingo 30 de junio de 2002

 W32/Yaha.F. Datos adjuntos: VALENTIN.SCR
http://www.vsantivirus.com/yaha-f.htm

Nombre: W32/Yaha.F
Tipo: Gusano de Internet
Alias: LENTIN.F, YAHA.F, I-Worm.Lentif.f, W32/Yaha-E, W32.Yaha.F@mm, WORM_YAHA.F, Worm/Lentin.G
Fecha: 24/jun/02
Plataforma: Windows
Tamaño: 27 Kb aprox. (UPX)

Herramienta para limpiar el Yaha:

Esta nueva versión del ‘Yaha’, se propaga a través del correo electrónico, en la forma de un protector de pantallas anexo a un correo electrónico. Usa su propio cliente SMTP y puede emplear como servidor SMTP cualquiera encontrado en el registro de Windows (cuentas de correo del usuario), o alguno de los disponibles en una lista de su propio código. Utiliza varias fuentes para obtener las direcciones de sus destinatarios.

Como las versiones anteriores, está programado en Visual C++ y comprimido con la utilidad UPX.

Cuando se ejecuta por primera vez, desplegará repetidamente en el monitor, los siguientes mensajes en varios colores, simulando ser un protector de pantalla:

I like U very much!!!
True Love never ends
Ur My Best Friend
U r so cute today #!#!

Inicialmente, se copia en el directorio TEMP de Windows con el nombre de "kitkat". Luego, copia este archivo con un nombre de seis letras seleccionadas al azar, a la carpeta de la papelera de reciclaje (c:\recycled), con el atributo de oculto activado (+H).

También modifica la siguiente clave del registro para autoejecutarse cada vez que un archivo .EXE es llamado:

HKLM\Software\Classes\Exefile\shell\open\command
(Predeterminado) = "c:\recycled\XXXXXX "%1" %*"

Las "XXXXXX" representan el nombre tomado al azar.

Después, crea otro archivo con el mismo nombre seleccionado antes, pero con la extensión .TXT, el cuál contiene el siguiente texto:

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

W32.YAHA-III
Author :H^H,h2h@achayans.com
Origin :India,Kerala

I like Klez,Sircam,But i hate the bullshit payloads

Is i am a good coder?? still i have dout huhh!!!

Beware Indian Hackers..Tomarrow is ours!!!

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> 

El gusano también crea un tercer archivo con el mismo nombre, pero con la extensión .DLL, en el cual almacena las direcciones de correo a las que se enviará, las que son obtenidas de las siguientes fuentes:

  • Libreta de direcciones (Windows Address Book)
  • MSN /.NET Messenger
  • Yahoo Pager
  • ICQ (archivos *.uin)
  • Archivos *.HT* en la carpeta temporales de Internet
  • Archivos *Hotmail*.*ht*
  • Archivos *.DOC
  • Archivos *.TXT

El mensaje enviado (en formato HTML) puede ser cualquiera de los dos siguientes:

1.

Asunto:
Melt the Heart of your Valentine with this beautiful Screen saver

Texto:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> 
This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.
**************************************************
Melt the Heart of your loved ones with these beautiful Screen saver from www.screensaverin.com
* To remove yourself from this mailing list, point your browser to: http://screensaverin.com/remove?freescreensaver
* Enter your email address (%EmailAddress%) in the field provided and click "Unsubscribe".
OR...
* Reply to this message with the word "remove" in the subjt line.
This message was sent to address %EmailAddress% X-PMG-Recipient:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> 

Datos adjuntos: VALENTIN.SCR

2.

Asunto:
Fw: Melt the Heart of your Valentine with this beautiful Screen saver

Texto:
Hi
Check this screen saver
Happy Valentines day
See u

----- Original Message -----
From: "Screen Saver" 
To: 
Sent: Friday, February 11, 2002 8:38 PM
Subject: Melt the Heart of your Valentine with this beautiful Screen saver
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> 
This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.
**************************************************
Melt the Heart of your loved ones with these beautiful Screen saver from www.screensaverin.com
* To remove yourself from this mailing list, point your browser to: http://screensaverin.com/remove?freescreensaver
* Enter your email address (%EmailAddress%) in the field provided and click "Unsubscribe".
OR...
* Reply to this message with the word "remove" in the subjt line.
This message was sent to address %EmailAddress%
X-PMG-Recipient: <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

Datos adjuntos: VALENTIN.SCR

Luego intenta deshabilitar cualquiera de los siguientes procesos correspondientes a una larga lista de conocidos antivirus y cortafuegos:

ANTIVIR
MCAFEE
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON


Para eliminar el virus de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej.: C:\NOMBRE\REGEDIT.EXE, etc.).

2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
exefile
shell
open
command

4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) = "c:\recycled\[nombre al azar] %1 %*"

5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el cargador: (c:\recycled\[nombre al azar]) y dejar solo esto (comilla, porcentaje, número uno, comilla, espacio, porcentaje, asterisco):

(Predeterminado) = "%1" %*

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.com Regedit.exe

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej.: C:\NOMBRE\REGEDIT.COM, etc.).

9. Ejecute uno o más antivirus actualizados.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS