Nuevo virus de p2p
Posted: Wednesday,29-Oct-2003 1:40 pm
Nombre: W32/Reckus.A
Tipo: Gusano de Internet (P2P)
Alias: W32.HLLW.Reckus, Worm.P2P.Delf.k, Win32/Delf
Fecha: 24/oct/03
Plataforma: Windows 32-bit
Tamaño: 59,904 bytes
Reportado por: Symantec
Gusano escrito en Borland Delphi y comprimido con la utilidad
UPX, que se propaga a través de redes de intercambio de
archivos entre usuarios, P2P (KaZaa, Morpheus, WinMX, etc.)
Cuando se ejecuta, sobrescribe los archivos NOTEPAD.EXE (bloc
de notas) y REGEDIT.EXE (editor del registro), junto a otros
archivos importantes del sistema. Además finaliza la
ejecución de antivirus y cortafuegos.
Cuando un archivo infectado se ejecuta, el gusano se copia a
si mismo en las siguientes ubicaciones (las carpetas son
C:\WINDOWS y C:\WINDOWS\SYSTEM32, sin importar la versión del
sistema operativo. Si no existen, las crea):
c:\windows\lol.exe
c:\windows\notepad.exe
c:\windows\regedit.exe
c:\windows\system32\progman.exe
c:\windows\system32\shutdown32.exe
c:\windows\system32\userinit.exe
c:\windows\system32\winsys32.exe
Los archivos existentes con el mismo nombre, son
sobrescritos. En algunas versiones de Windows, estos archivos
son vitales (por ejemplo, los mencionados en la carpeta
SYSTEM32 en Windows XP y 2000).
También crea la carpeta SHARED:
c:\windows\system32\shared
En dicha carpeta y en las siguientes, se copia a si mismo con
los nombres que se detallan más abajo, para propagarse a
otros usuarios de las redes de intercambio de archivos P2P:
c:\program files\winmx\my shared folder
c:\my downloads
Alcohol 120 keygen.exe
Battlefield 1942 keygen.exe
BlackICE PC Protection 3.5 keygen.exe
BlindWrite crack (all versions).exe
Briana Banks (screensaver).exe
Britney spears DressUp Doll.exe
Britney Spears NUDE (screensaver).exe
Carmen Electra NUDE (screensaver).exe
DC++ ShareFaker.exe
Delphi 7 Enterprise keygen.exe
Dransik character editor.exe
Dransik classic account unlocker.exe
Everquest 2 NoCD crack.exe
GTA Vice City Universal NoCD patch.exe
Half-Life keygen.exe
Imesh No-Adverts.exe
Jedi Academy keygen.exe
KAV Personal Pro crack & keygen.exe
Kazaa AD-remover.exe
Kazaa Speedup 3.05.exe
KMD 2.1.exe
Krystal Steel (screensaver).exe
Lavasoft Ad-Aware 6 keygen.exe
Lavasoft Ad-aware 6 pro keygen.exe
Matrix Code Emulator Screensaver.exe
Microsoft Visual C++ keygen.exe
Mirc 6.03 serial generator.exe
MusicMatch JukeBox 8.0 keygen.exe
Nero Burning Rom (5.X + 6.X) keygen.exe
Norton Anti-Virus 2003 crack.exe
Norton Anti-Virus 2003 keygen.exe
Norton Anti-Virus 2004 crack.exe
Norton Anti-Virus 2004 keygen.exe
Norton Internet Security crack.exe
Office XP keygen.exe
Panda Anti-Virus Titanium keygen.exe
Playstation 2 emulator.exe
PopUp Killer crack (all versions).exe
Retina vulnerability scan keygen.exe
Runescape character editor.exe
Sophie Sweet (screensaver).exe
Tawny Roberts (screensaver).exe
Tiny Personal Firewall 5.0 crack.exe
UT 2003 keygen.exe
Vietcong keygen.exe
Visual Basic 6 keygen.exe
Visual Studio keygen.exe
Warcraft III Reign Of Chaos 1.0X Virtual Crack.exe
Window Washer 4.8 keygen.exe
Windows XP activation crack.exe
WinRAR keygen (all versions).exe
WinZip keygen (all versions).exe
Además crea otros archivos que no contienen código malicioso:
winbfkey.txt
winhelp.txt
winkey.txt
winutkey.txt
Modifica el registro de Windows para agregar la siguiente
entrada, para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSys32 = c:\windows\system32\winsys32.exe
Además crea un archivo SCRIPT.INI en las siguientes carpetas
(si existen), sobrescribiendo cualquier otro existente con
ese nombre:
c:\evolution
c:\mirc
c:\program files\finnishirc xp
c:\program files\gamers.irc
c:\program files\mirc
c:\program files\nonamescript
c:\scoop2003
c:\sentinel4
El script contiene los comandos para enviar mensajes a otros
usuarios en los mismos canales de IRC visitados por la
víctima infectada. Los mensajes contienen numerosos enlaces,
algunos de ellos a páginas conteniendo código malicioso.
El gusano intentará también robar los CD keys de registro de
varios juegos.
Además, intentará borrar los siguientes archivos de Windows
(vitales en versiones como XP y 2000):
c:\windows\cmd.exe
c:\windows\system32\autochk.exe
c:\windows\system32\chkdsk.exe
c:\windows\system32\chkntfs.exe
c:\windows\system32\regedt32.exe
c:\windows\system32\regsvr32.exe
c:\windows\system32\shutdown.exe
c:\windows\system32\taskman.exe
c:\windows\system32\taskmgr.exe
Modifica la página de inicio del Internet Explorer por la de
un sitio pornográfico.
Luego, entra en un bucle sin fin, y cada 10 segundos, el
gusano finaliza cualquier proceso activo de antivirus y
cortafuegos instalados en la máquina infectada.
En el mismo bucle, se vuelve a copiar a si mismo en la
siguiente ubicación:
c:\windows\system32\winsys32.exe
* IMPORTANTE
Si este gusano se ha ejecutado en un sistema, es posible que
Windows deje de funcionar y sea imposible reiniciarlo para su
restauración. El daño varía según el sistema operativo
instalado y la ubicación del mismo (C:\WINDOWS,
C:\WINDOWS\SYSTEM32\). Por ejemplo, Windows 95, 98 y Me,
podrían ejecutarse, pero sería necesario restaurar algunos
archivos. Windows XP y 2000 en cambio, podrían dejar de
funcionar.
Para proceder a restaurar el sistema, se deberá reinstalar
Windows. Sin embargo, el gusano podría volver a ejecutarse si
no se elimina antes, cosa que será muy dificultosa si no se
puede editar el registro (el gusano borra el editor del
registro).
Por otra parte, mientras esté en ejecución, el gusano vuelve
a copiarse a si mismo, por lo que es casi imposible borrarlo
mientras no se detenga antes su ejecución.
Los procedimientos siguientes por lo tanto, se dan como
referencia para su eliminación manual, pero se advierte que
en muchos casos la solución definitiva puede pasar por el
borrado de Windows y su reinstalación completa.
Tipo: Gusano de Internet (P2P)
Alias: W32.HLLW.Reckus, Worm.P2P.Delf.k, Win32/Delf
Fecha: 24/oct/03
Plataforma: Windows 32-bit
Tamaño: 59,904 bytes
Reportado por: Symantec
Gusano escrito en Borland Delphi y comprimido con la utilidad
UPX, que se propaga a través de redes de intercambio de
archivos entre usuarios, P2P (KaZaa, Morpheus, WinMX, etc.)
Cuando se ejecuta, sobrescribe los archivos NOTEPAD.EXE (bloc
de notas) y REGEDIT.EXE (editor del registro), junto a otros
archivos importantes del sistema. Además finaliza la
ejecución de antivirus y cortafuegos.
Cuando un archivo infectado se ejecuta, el gusano se copia a
si mismo en las siguientes ubicaciones (las carpetas son
C:\WINDOWS y C:\WINDOWS\SYSTEM32, sin importar la versión del
sistema operativo. Si no existen, las crea):
c:\windows\lol.exe
c:\windows\notepad.exe
c:\windows\regedit.exe
c:\windows\system32\progman.exe
c:\windows\system32\shutdown32.exe
c:\windows\system32\userinit.exe
c:\windows\system32\winsys32.exe
Los archivos existentes con el mismo nombre, son
sobrescritos. En algunas versiones de Windows, estos archivos
son vitales (por ejemplo, los mencionados en la carpeta
SYSTEM32 en Windows XP y 2000).
También crea la carpeta SHARED:
c:\windows\system32\shared
En dicha carpeta y en las siguientes, se copia a si mismo con
los nombres que se detallan más abajo, para propagarse a
otros usuarios de las redes de intercambio de archivos P2P:
c:\program files\winmx\my shared folder
c:\my downloads
Alcohol 120 keygen.exe
Battlefield 1942 keygen.exe
BlackICE PC Protection 3.5 keygen.exe
BlindWrite crack (all versions).exe
Briana Banks (screensaver).exe
Britney spears DressUp Doll.exe
Britney Spears NUDE (screensaver).exe
Carmen Electra NUDE (screensaver).exe
DC++ ShareFaker.exe
Delphi 7 Enterprise keygen.exe
Dransik character editor.exe
Dransik classic account unlocker.exe
Everquest 2 NoCD crack.exe
GTA Vice City Universal NoCD patch.exe
Half-Life keygen.exe
Imesh No-Adverts.exe
Jedi Academy keygen.exe
KAV Personal Pro crack & keygen.exe
Kazaa AD-remover.exe
Kazaa Speedup 3.05.exe
KMD 2.1.exe
Krystal Steel (screensaver).exe
Lavasoft Ad-Aware 6 keygen.exe
Lavasoft Ad-aware 6 pro keygen.exe
Matrix Code Emulator Screensaver.exe
Microsoft Visual C++ keygen.exe
Mirc 6.03 serial generator.exe
MusicMatch JukeBox 8.0 keygen.exe
Nero Burning Rom (5.X + 6.X) keygen.exe
Norton Anti-Virus 2003 crack.exe
Norton Anti-Virus 2003 keygen.exe
Norton Anti-Virus 2004 crack.exe
Norton Anti-Virus 2004 keygen.exe
Norton Internet Security crack.exe
Office XP keygen.exe
Panda Anti-Virus Titanium keygen.exe
Playstation 2 emulator.exe
PopUp Killer crack (all versions).exe
Retina vulnerability scan keygen.exe
Runescape character editor.exe
Sophie Sweet (screensaver).exe
Tawny Roberts (screensaver).exe
Tiny Personal Firewall 5.0 crack.exe
UT 2003 keygen.exe
Vietcong keygen.exe
Visual Basic 6 keygen.exe
Visual Studio keygen.exe
Warcraft III Reign Of Chaos 1.0X Virtual Crack.exe
Window Washer 4.8 keygen.exe
Windows XP activation crack.exe
WinRAR keygen (all versions).exe
WinZip keygen (all versions).exe
Además crea otros archivos que no contienen código malicioso:
winbfkey.txt
winhelp.txt
winkey.txt
winutkey.txt
Modifica el registro de Windows para agregar la siguiente
entrada, para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSys32 = c:\windows\system32\winsys32.exe
Además crea un archivo SCRIPT.INI en las siguientes carpetas
(si existen), sobrescribiendo cualquier otro existente con
ese nombre:
c:\evolution
c:\mirc
c:\program files\finnishirc xp
c:\program files\gamers.irc
c:\program files\mirc
c:\program files\nonamescript
c:\scoop2003
c:\sentinel4
El script contiene los comandos para enviar mensajes a otros
usuarios en los mismos canales de IRC visitados por la
víctima infectada. Los mensajes contienen numerosos enlaces,
algunos de ellos a páginas conteniendo código malicioso.
El gusano intentará también robar los CD keys de registro de
varios juegos.
Además, intentará borrar los siguientes archivos de Windows
(vitales en versiones como XP y 2000):
c:\windows\cmd.exe
c:\windows\system32\autochk.exe
c:\windows\system32\chkdsk.exe
c:\windows\system32\chkntfs.exe
c:\windows\system32\regedt32.exe
c:\windows\system32\regsvr32.exe
c:\windows\system32\shutdown.exe
c:\windows\system32\taskman.exe
c:\windows\system32\taskmgr.exe
Modifica la página de inicio del Internet Explorer por la de
un sitio pornográfico.
Luego, entra en un bucle sin fin, y cada 10 segundos, el
gusano finaliza cualquier proceso activo de antivirus y
cortafuegos instalados en la máquina infectada.
En el mismo bucle, se vuelve a copiar a si mismo en la
siguiente ubicación:
c:\windows\system32\winsys32.exe
* IMPORTANTE
Si este gusano se ha ejecutado en un sistema, es posible que
Windows deje de funcionar y sea imposible reiniciarlo para su
restauración. El daño varía según el sistema operativo
instalado y la ubicación del mismo (C:\WINDOWS,
C:\WINDOWS\SYSTEM32\). Por ejemplo, Windows 95, 98 y Me,
podrían ejecutarse, pero sería necesario restaurar algunos
archivos. Windows XP y 2000 en cambio, podrían dejar de
funcionar.
Para proceder a restaurar el sistema, se deberá reinstalar
Windows. Sin embargo, el gusano podría volver a ejecutarse si
no se elimina antes, cosa que será muy dificultosa si no se
puede editar el registro (el gusano borra el editor del
registro).
Por otra parte, mientras esté en ejecución, el gusano vuelve
a copiarse a si mismo, por lo que es casi imposible borrarlo
mientras no se detenga antes su ejecución.
Los procedimientos siguientes por lo tanto, se dan como
referencia para su eliminación manual, pero se advierte que
en muchos casos la solución definitiva puede pasar por el
borrado de Windows y su reinstalación completa.