10 - Viruteca
∞ keogh ∞
Bueno en esta seccion hablare o describire algunos virus, famosos o nuevos, hoy vamos a hablar del famoso gusano que esta actualmente jodiendo en el hotmail el I-Worm.Daduni
Tambien veremos la descripcion del I love You.
Estos dos virus los puedes obtener en www.novahack.cjb.net
NOVAHACK, NOVAHACK ZINE, NI YO NOS HACEMOS RESPONSABLES DEL MAL USO QUE LE DES A ESTOS FICHEROS O INFORMACION. TE RECUERDO QUE ESTO ES SOLO DE CARACTER INFORMATIVO Y/O EDUCATIVO.
I-Worm.Daduni
Daduni o Duni es un virus que fue reportado el 3 de junio deel 2002. Es de alta propagación y se encuentra en un anexado con extensión CPL (Control Panel Applet) y se autoenvia por los contactos del MSN Messenger. Funciona con librerias de el Msn Messenger.
Cuando te infecta este intenta desactivar los antivirus: McAffe, AVP y Per Antivirus (el Norton no).
Los Sistemas Operativos vulnerables (Windows como siempre) son: 95/98/NT/NT Server/Me/2000/2000 Server/XP.
Esta programado en Delphi y comprimido con UPX (Ultimate Packer for eXecutables).
Este posee una gran variedad de nombre de asuntos y nombre del anexado.
Los Asuntos son estos:
Esta si que es zorra!!!
Fotos de asesinatos, Jack el Destripador,
Charles Manson, y muchos mas para decorar tu escritorio.
Yeahhh Mutha Facka... NY Brookling in your NET.
Genera passwords para poder entrar a las webs mas putonas de la red, y gratis, incluso podras bajar peliculas porno.
Para los verdaderos amigos...
Test de amor.
30 pregutas para saber si tu pareja te enga
!La imagen de cristo en un bosque.
mira como seria un mundial en la antigua mesopotamia.
Fotos de Cristo para decorar tu escritorio.
Te han enviado una postal.
Te acuerdas de mi?
Asi se hace el amor...
Asi me gusta a mi...
Esto doleria mucho, mucho :-). Si esto no me lo regresas me sentire mal.
La vida despues de la muerte.
Me cambie de correo, aver si ahora me escribes...
Leelo y reenvialo a quienes mas amas.
Cancion de amor, para ti.
Paulina Rubio y su zorrita cosmica...
No todo lo que uno lea sobre el servicio de webmail de Microsoft es cierto.
!Ver el listado de falsas alarmas.
!ja, la han cagado con este video.
Bin Laden DT de la seleccion de arabia..
Bin Laden nuevo goliador de Arabia saudita , jaaaaaaa.
Bin Laden presidente de la FIFA.
Dime que te parece esta animacion.
Una broma para las secretarias, ja ja.
Test para secretarias, para saber que tan tontas son.
41 preguntas para saber si alguien es sicopata.
mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
listado de ultimas mentiras que circulan por los mails.
Last hoaxes list.
Hola
como te gustarian este par de tetitas.
Leelo y reenvialo a quienes mas amas.
mira esto es mas ordinario que gato con hanta, juaaaaaaaaaaaa.
listado de ultimas mentiras que circulan por los mails.
Bin Laden killing muthaFaka bill gates.
Los Anexos son estos:
- zorrita.cpl
- jack.cpl
- sickofitall.cpl
- analpasswords.cpl
- poema_angelical.cpl
- testdeamor.cpl
- Adulterio_en_tus_narices.cpl
- Cristo.cpl
- mundial.cpl
- cristo2002.cpl
- postal_de_mi_alma.cpl
- estesoyyo.cpl
- milposiciones.cpl
- como_como.cpl
- por_ahi_noooooo.cpl
- lomasimportante.cpl
- vidaymuerte.cpl
- siemprevivir@setnet.cpl
- milvidas.cpl
- comoolvidarte.cpl
- paulinasex.cpl
- mentiras_en_hotmail.cpl
- listado_de_hoaxes.cpl
- zapato_en_el_culo.cpl
- binladenDT.cpl
- gooooooool.cpl
- Fifaladen.cpl
- 788782.cpl
- secretarias.cpl
- test_secretontas.cpl
- sere_yo_uno_de_esos.cpl
- scarycrai.cpl
- mentiras_mails.cpl
- mcaffehoaxlist.cpl
- tetris2002.cpl
- zandias_meloones.cpl
- quien_como_tu.cpl
- portymore.cpl
- listado_de_porquerias.cpl
- billgatesscream.cpl
Al infectarte de este se auto-copia a los directorios c:/, c:/windows o c:/winnt y se auto-pone nombres aleatorios con números del 1 al 9.
Este hace una cadena en el registro para ejecutarse la proxima vez que inicie el PC, la cual es:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
Este valor es referido al archivo que fue copiado previamente. Ejemplos:
1821 rundll32.exe, shell32.dll, Control_RunDLL, C:WINDOWS1821.cpl
El virus obtiene los nombres de tus contactos de la siguiente cadena del registro:
[HKEY_CURRENT_USERSoftwareMicrosoftMessengerServiceListCache.NET Messenger Service], y utiliza el servidor STMP mail.hotmail.com para distribuirse.
Daduni usa archivos temporales llamados commfig.sys y k32.vxd ubicados en el directorio de Windows durante la captura de la lista de direcciones de correo.
No sólo se limita al Msn Messenger sino que tambien utiliza el KaZaA para propagarse por medio de esta cadena:
[HKEY_CURRENT_USERSoftwareKazaaTransferDlDir0]
En caso de que lo logre se distibuye con estos nombres:
- DivResidentEvil.ZIP.cpl
- SpidermanDesktop.cpl
- AVP_KeyActualization2002.ZIP .cpl
- Messenger_skins.ZIP .cpl
- Porno_sTar.cpl
- CannibalCorpse.MP3 .cpl
- ASickofitall.Zip .cpl
- AXEbahia.cpl
- NuevosVideosProfesorRossa.cpl
- NewVideo_Blink182.cpl
- LagWagon&Blink182.cpl
- Hacking.cpl
- AllMcAfeeCrack.Cpl
- Britney_spearsVSDavidBeckham_AnalPasions.cpl
- Crack.PerAntivirus.Zip .cpl
- JamieThomasVSrodneyMullen.cpl
- MariguanaDesktop.cpl
- AgeOfEmpires2_Crack.cpl
- PSX2_Emulation.Zip .cpl
- GameCube.Zip .cpl
- Mames.Zip.cpl
- Crack_Delphi5and6.Zip .cpl
- terminator2.cpl
- BinladenF*ckinBillGates.cpl
- AnalPasswords.cpl
- ElvisDesktop.cpl
- B.cpl
- Z.cpl
- AVP_Spanish.cpl
- ZoneAlarmCrack.cpl
- HardXCore.cpl
- PhotoShop6.xCrack.cpl
- BioHazard.cpl
- VisualBasic.Net.cpl
- Zidane.Taliban.cpl
- VideoPortoSeguro.cpl
- PSX2EmulatorFree.Zip .cpl
- sexo_en_la_calle.cpl
- sexo_anal_full_video.cpl
- sexo_oriental_full_video.cpl
- muertes_videos.cpl
- fullvideo_anal_action.zip.cpl
Para evadir la detección y eliminación de algunos antivirus, el gusano manipula archivos de datos e información del registro al cual modifica:
[HKEY_LOCAL_MACHINESOFTWAREKasperskyLabSharedFilesFolder]
y apuntando al directorio de Windows altera la llave de registro:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] default = PAV.EXE C:%windir%
con el propósito de prevenir que PER ANTIVIRUSÆ sea ejecutado al inicio del sistema. Adicionalmente intenta borrar, infructuosamente, los siguientes archivos correspondientes a nuestro software:
C:archiv~1peravpav.dll
C:archiv~1peravper.dll
C:program filesperavpav.dll
C:program filesperavper.dll
así como también intenta borrar los siguientes archivos de la carpeta de Windows:
PAV.EXE
asesavp.set
systemvshield.vxd
system32vshield.vxd
vshield.vxd
Dentro de su código viral se puede leer esta cadena, no visible para los usuarios:
"unidadworm"
Para desinfectarme
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
PAV.EXE
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
rundll32.exe
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
8. Actualice sus antivirus o reinstálelos (el virus intenta eliminar algunos archivos pertenecientes a conocidos antivirus, como PER, Kaspersky y VirusScan, aunque no lo logra en todos los casos).
9. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
10. Borre los archivos detectados como infectados por el virus
AHORA, si quieres hacer el trabajo facil te recomiendo que bajes este archivo:
http://updates.pandasoftware.com/pq/gen/dadinu/pqremove.com
I love you
Nombre del virus: VBS/LoveLetter
Fecha de descubrimiento: 04 de Mayo de 2000
Alias: VBS/LoveLetter@MM, I Love You, Worm/LoveLetter, VBS/LOVELETTER.A, Barok
Origen: Filipinas
Tipo: Gusano Troyano
Subtipo: Gusano de IRC y de correo electronico
Peligrosidad: Alta
Tamaño: 10307 bytes
Características del virus: El gusano VBS/loveletter se difunde a través del correo electrónico como un archivo llamado LOVE-LETTER-FOR-YOU.TXT.vbs, tambien por el canal de charla IRC y lo hace a una velocidad vertiginosa. Loveletter se activa al ejecutar el archivo que lleva vinculado al mensaje de correo electrónico de referencia "I LOVEYOU" y sobrescribe los archivos de gráficos y de música en las unidades locales y de red.
Todos los archivos con las extensiones JPG, JPEG, MP3 y MP2, VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, son sobrescritos con el codigo del virus, agregando la extensión VBS y por lo tanto, la única posibilidad de recuperación se limita a los respaldos.
Por defecto, las extensiones .VBS en los sistemas Windows no son visibles y el receptor del e-mail puede abrir el archivo adjunto LOVE.LETTER-FOR-YOU.TXT.vbs. por error pensando que es un inofensivo archivo .txt. Al abrir el archivo, el virus utilizará Microsoft Outlook para enviar un mensaje a todas las direcciones de la agenda.
Como las agendas contienen normalmente direcciones de grupos, cuando el virus se activa en una organización el primer infectado envía el mensaje al resto de la empresa. Los usuarios abren el mensaje y lo vuelven a reenviar de nuevo a toda la empresa. El efecto inmediato es que el servidor de correo puede verse rápidamente colapsado.
Cuando se envía a través de un canal de IRC, el fichero enviado tendrá el nombre LOVE-LETTER-FOR-YOU.HTM. Dicho fichero se envía a cada uno de los usuarios que en ese instante se encuentren conectados con el usuario infectado, a través de un canal de Chat (IRC).
Además, el virus sobrescribe los scripts locales y los archivos HTML con su propio código.
El mensaje es similar al que se muestra a continuación:
De: Nombre-del-usuario- infectado
Para: Nombre aleatorio de la agenda de Outlook
Asunto:ILOVEYOU
Kindly check the attached LOVELETTER coming from me.
Archivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
El gusano crea el fichero SCRIPT.INI en todos aquellos directorios donde encuentre alguno de los siguientes archivos: MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, o MIRC.HLP. Dicho fichero es el encargado de enviar el fichero LOVE-LETTER-FOR-YOU.HTM mediante un canal de IRC. Los destinatarios de este fichero son todos aquellos usuarios que se conecten al mismo canal de chat que él usuario infectado.
El troyano se baja el fichero WIN-BUGSFIX.EXE de una página Web seleccionada, de forma aleatoria, entre cuatro posibles direcciones www. Posteriormente ejecuta dicho fichero y lo renombra por WINFAT32.EXE. Dicho fichero realiza las siguientes operaciones:
Cada 150 milésimas de segundo busca una ventana con el título "Connect to". Esto solamente ocurre en ordenadores con el sistema operativo en inglés. Si encuentra dicha ventana, (correspondiente a la conexión de red), consigue que el password utilizado originalmente para la conexión sea la que se tome por defecto. Esto lo consigue marcando, cada 150 milésimas de segundo, la casilla de verificación que permite almacenar ("recordar") el password utilizado para la conexión.
A partir del día siguiente a la infección, el troyano recoge información confidencial, referente al sistema, cada 48 segundos. Posteriormente envía todos los datos obtenidos a la dirección de correo electrónico mailme@super.net.ph (en Filipinas). El cuerpo del mensaje enviado a dicha dirección, es el siguiente:
From: test@192.168.8.36
To: mailme@super.net.ph
Subject: Barok... email.passwords.sender.trojan
X-Mailer: Barok...
email.passwords.sender.trojan---by: spyder
Date: Fri, 5 May 2000 05:17:28 +0200
Message-Id: <891900275@super.net.ph>
Host: "nombre del ordenador infectado"
Username: "nombre del usuario infectado"
IP Address: "dirección IP, en formato xxx.xxx.xxx.xxx"
RAS Passwords:
descripción de la conexión
- U: "usuario"
- P: "password"
- N#: "número de teléfono correspondiente a la conexión RAS en formato (cc)pp-nnnnnnn"
- Cache Passwords: "Lista de passwords en la cache"
El troyano, por lo tanto, obtiene información confidencial referente a la conexión RAS (acceso telefónico a redes) del usuario infectado. La información concreta que recoge es la siguiente:
- Passwords de Windows.
- Nombre de cada usuario.
- Password.
- Número de teléfono (con código de país, área y teléfono).
- Dirección IP del ordenador infectado.
- DNS correspondiente al servidor primario y al servidor secundario.
- WINS correspondiente al servidor primario y al servidor secundario.
Conociendo esta información, el destinatario de la misma podrá acceder a la red empresarial. De esta forma, podría iniciar una sesión de usuario, o acceder a la red como si del propio administrador se tratase, obteniendo el control absoluto sobre ella. De esta forma se tendrá acceso y los permisos correspondientes al usuario infectado.
Comentarios adicionales: Pocas horas después de su lanzamiento, en mayo de 2000, ya había infectado miles de equipos, superando la epidemia que provocó Melissa, tanto en velocidad como en destrucción y pérdidas económicas.
Está escrito en lenguaje VBScript, programa que por defecto opera sólo bajo Windows 98 y Windows 2000. No obstante, los usuarios de Windows 95 y NT también son vulnerables si tienen instalada la versión 5 de Microsoft Internet Explorer.
Indicaciones de infección: Sobreescribe todos los archivos con extensión JPG, JPEG, MP3 y MP2, VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA y agraga la extensión VBS, crea el archivo Script.ini.
Metodo de infeccion: Utiliza como medio de propagación el correo electronico y el IRC.