| |
VSantivirus No. 918 - Año 7 - Sábado 11 de enero de 2003
W32/Yaha.N2. Variante del Yaha.M, que engaña algunos AV
http://www.vsantivirus.com/yaha-n2.htm
Nombre: W32/Yaha.N2
Tipo: Gusano de Internet
Alias: Worm/Yaha.M.2, W32/Lentin.M, Lentin.N
Fecha: 7/ene/03
Tamaño: 28,672 bytes
Plataforma: Windows 32-bit
Esta versión del Yaha es una modificación (mínima) de la versión Yaha.L (M), comprimida con la herramienta UPX, lo que sirvió para eludir la detección de algunos antivirus. Esa es la razón por la que es identificada con un nombre diferente por algunos de ellos.
Todos los antivirus deberían detectarlo en este momento, pero recuerde la importancia de actualizar diariamente su AV.
Yaha es un gusano de Internet que se propaga a través de mensajes infectados enviados a direcciones obtenidas de las libretas de Windows, páginas Web existentes en el caché de Internet (.HTM, .HTML, .HTA), y listas de contactos del MSN Messenger.
Los correos electrónicos enviados, poseen diferentes formatos, asuntos, textos y archivos adjuntos (ver descripción completa en "W32/Yaha.L (K,M). Ataca antivirus y cortafuegos",
http://www.vsantivirus.com/yaha-l.htm).
Selecciona al azar o inventa direcciones para el campo "reply-to" de los mensajes (dirección de respuesta para el mensaje). También inventa nombres de remitentes, asuntos y nombres de adjuntos.
Esta variante (como ocurre en casi todas las últimas del Yaha), no posee el efecto que en otras versiones mostraba un texto repetido y en diferentes colores, volando por la pantalla.
Cuando se ejecuta, el gusano se copia a si mismo en el directorio System de Windows con los siguientes nombres:
C:\Windows\System\tcpsvs32.exe
C:\Windows\System\nav32_loader.exe
C:\Windows\System\WinServices.exe
C:\Windows\System\winloader32.dll
"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
También crea las siguientes entradas en el registro para poder autoejecutarse en cada reinicio de la computadora infectada.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinServices = C:\Windows\System\WinServices.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WinServices = C:\Windows\System\WinServices.exe
Además, realiza la siguiente modificación:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = "C:\Windows\System\nav32_loader.exe "%1" %*"
Esto hace que se ejecute el virus cada vez que una aplicación .EXE es llamada por el sistema, lo que dificulta su limpieza, ya que cualquier programa que se ejecute, incluido un antivirus, lanzará al gusano antes.
Como las otras versiones, el gusano intentará deshabilitar todos los procesos de antivirus y cortafuegos conocidos, que se estén ejecutando en ese momento.
Al finalizar despliega una ventana con el siguiente mensaje:
InitialisationError
Required file Riched32.dll not found.
Application initialisation error.
[ OK ] [ Cancel ]
Para eliminar el virus de un sistema infectado
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Modificación del registro
Es necesario renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en "C:\Windows", debe cambiar esta referencia (Ej.: "C:\Nombre\Regedit.exe", etc.).
2. Desde Inicio, Ejecutar, teclee "Regedit.com" y pulse Enter
3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) = "C:\Windows\System\nav32_loader.exe "%1" %*"
5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el cargador: (C:\Windows\System\nav32_loader.exe) y dejar solo esto (comillas, porcentaje, número uno, comillas, espacio, porcentaje, asterisco):
(Predeterminado) = "%1" %*
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
8. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.com Regedit.exe
Si windows no está instalado en "C:\Windows", debe cambiar esta referencia (ej.: "C:\Nombre\Regedit.com", etc.).
9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
10. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Winservices
11. Repita los pasos 9 y 10 (pinchando en "RunServices") con la siguiente rama del registro:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
14. Ejecute uno o más antivirus actualizados.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Relacionados:
¿Lo protege su antivirus de la última variante del Klez?
http://www.vsantivirus.com/05-01-03.htm
W32/Yaha.A. Falso protector de pantalla de San Valentín
http://www.vsantivirus.com/yaha-a.htm
W32/Yaha.B. FRIENDS.SCR, falso protector de pantalla
http://www.vsantivirus.com/yaha-b.htm
W32/Yaha.C. En esta versión, deshabilita los antivirus
http://www.vsantivirus.com/yaha-c.htm
W32/Yaha.D. Aunque falla, toma el control de los .EXE
http://www.vsantivirus.com/yaha-d.htm
W32/Yaha.E. Elimina conocidos antivirus y cortafuegos
http://www.vsantivirus.com/yaha-e.htm
W32/Yaha.F. Datos adjuntos: VALENTIN.SCR
http://www.vsantivirus.com/yaha-f.htm
W32/Yaha.H. Ataca antivirus y cortafuegos
http://www.vsantivirus.com/yaha-h.htm
W32/Yaha.J. Nueva variante ataca antivirus y cortafuegos
http://www.vsantivirus.com/yaha-j.htm
W32/Yaha.L (K,M). Ataca antivirus y cortafuegos
http://www.vsantivirus.com/yaha-l.htm
W32/Yaha.M (K). Ataca antivirus y cortafuegos
http://www.vsantivirus.com/yaha-m.htm
W32/Yaha.N (M). Cómo anteriores, elimina antivirus
http://www.vsantivirus.com/yaha-n.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
