W32/Thonic.A. Infecta archivos, se propaga por e-mailNombre: W32/Thonic.A
Nombre NOD32: Win32/Thonic.A
Tipo: Gusano de Internet y virus infector de ejecutables
Alias: Thonic, I-Worm.Thonic.a, I-Worm/Thonic.A, PE_THONIC.B, VBS_THONIC.B, W32.Thonic@mm, W32/Thonic.6144.A, W32/Thonic.a@MM, WIN.EXE.Virus, Win32.FileInfector, Win32/Thonic.A, Worm.Thonic.A
Plataforma: Windows 32-bit
Tamaño: 5,482 bytes
Este gusano se propaga adjunto a un mensaje electrónico como el siguiente:
Asunto: Free MyDoom.B Patch !
Texto del mensaje:
Very urgent !
You should run this patch to protect your Windows OS
immediately to avoid this danger virus variant.
Thank You,
Microsoft Technical
Support Staff
Any rights not expressly granted herein are reserved.
Contact Microsoft with questions or problems.
(c) 2004 Microsoft Corporation. All right
Datos adjuntos: funnystuff.avi.exe
La infección se produce cuando el usuario hace doble clic sobre el adjunto. El ejecutable infecta la utilidad NOTEPAD.EXE (el bloc de notas de Windows), y la copia en la siguiente ubicación:
c:\funnystuff.avi.exe
El gusano también es capaz de infectar otros archivos PE (Portable Executable) con las siguientes extensiones:
.exe
.cpl
.scr
PE es un formato de archivos ejecutables de Windows, que recibe el nombre de "portátil" porque el mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
Una vez en memoria, el gusano intercepta todas las llamadas a las siguientes APIs de Windows:
WinExec
MoveFile
SetCurrentDir
API (Application Program Interface), es un conjunto de rutinas que un programa utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo.
Cada vez que el gusano detecta una de las llamadas mencionadas, intentará infectar los archivos relacionados, que cumplan con las condiciones vistas antes.
El gusano se agrega a si mismo al final de los archivos que infecta. Por ello los archivos infectados pueden aumentar unos 8,192 bytes su tamaño. En ocasiones, el gusano puede agregar otros 4,096 bytes más, conteniendo solo basura, a cada archivo infectado.
En el proceso, crea una nueva sección en el archivo infectado, con el nombre de ".Nameles". Para no infectar de nuevo un archivo, busca dicho nombre en el header (cabezal), y no lo infecta si la sección existe.
Para propagarse por correo electrónico en mensajes como el ya descrito, el gusano libera y luego ejecuta un script VBS de 875 bytes en una de las siguientes ubicaciones:
c:\vqmsxjvyc.vbs
c:\windows\vqmsxjvyc.vbs
Cuando el script se ejecuta, el gusano accede al Outlook y Outlook Express usando funciones MAPI (Messaging Application Programming Interface, una interfase de programación para aplicaciones que gestionan correo electrónico), y se envía a todos los contactos de la libreta de direcciones del programa, usando FUNNYSTUFF.AVI.EXE como adjunto.
Su código contiene el siguiente texto:
Win32.Nameless Mist - AzagTH0TH
Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Repare (*) los archivos detectados como infectados
(*) Algunos archivos del virus solo podrán ser borrados
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/thonic-a.htmW32/Thonic.B. Infecta archivos, se propaga por e-mailNombre: W32/Thonic.B
Nombre NOD32: Win32/Thonic.B
Tipo: Gusano de Internet y virus infector de ejecutables
Alias: Thonic.B, I-Worm.Thonic.b, I-Worm/Thonic.B, W32.Thonic@mm, W32/Thonic.b@MM, Win32/Thonic.B, Worm Generic, Worm.Thonic.B
Plataforma: Windows 32-bit
Tamaño: 7,502 bytes
Este gusano se propaga adjunto a un mensaje electrónico como el siguiente:
Asunto: Hey check out this funny video my friend sent me !
Texto del mensaje:
Mail Body
Datos adjuntos: snowboard_accident.avi????????????????????????.exe
Donde "?????" representan 75 espacios en blanco.
La infección se produce cuando el usuario hace doble clic sobre el adjunto. El ejecutable infecta la utilidad NOTEPAD.EXE (el bloc de notas de Windows), y la copia en la siguiente ubicación:
c:\snowboard_accident.avi????????????????????????.exe
El gusano también es capaz de infectar otros archivos PE (Portable Executable) con las siguientes extensiones:
.exe
.cpl
.scr
PE es un formato de archivos ejecutables de Windows, que recibe el nombre de "portátil" porque el mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
Una vez en memoria, el gusano intercepta todas las llamadas a las siguientes APIs de Windows:
WinExec
MoveFile
SetCurrentDir
API (Application Program Interface), es un conjunto de rutinas que un programa utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo.
Cada vez que el gusano detecta una de las llamadas mencionadas, intentará infectar los archivos relacionados, que cumplan con las condiciones vistas antes.
El gusano se agrega a si mismo al final de los archivos que infecta. Por ello los archivos infectados pueden aumentar unos 7,502 bytes su tamaño. En ocasiones, el gusano puede agregar otros 4,096 bytes más, conteniendo solo basura, a cada archivo infectado.
En el proceso, crea una nueva sección en el archivo infectado, con el nombre de ".DCUbLmd". Para no infectar de nuevo un archivo, busca dicho nombre en el header (cabezal), y no lo infecta si la sección existe.
Para propagarse por correo electrónico en mensajes como el ya descrito, el gusano libera y luego ejecuta un script VBS de 875 bytes en una de las siguientes ubicaciones (esta acción puede fallar en ocasiones, impidiendo su propagación):
c:\cthonic.vbs
c:\windows\cthonic.vbs
Cuando el script se ejecuta, el gusano accede al Outlook y Outlook Express usando funciones MAPI (Messaging Application Programming Interface, una interfase de programación para aplicaciones que gestionan correo electrónico), y se envía a todos los contactos de la libreta de direcciones del programa, usando SNOWBOARD_ACCIDENT.AVI????????????????????????.EXE como adjunto.
El gusano crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = c:\snowboard_accident.avi????????????????????????.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre] = c:\snowboard_accident.avi????????????????????????.exe
También puede propagarse vía mIRC, por canales de chat.
Su código contiene el siguiente texto:
-=[YoG-SoTHoTH]=-
The Ancient Ones are near !!! Fear not
these latter days of humanity...
Created by -=[YoG-SoTHoTH]=- on Sept2003
HEX EDITING BIATCHs.......FUCK OFF !!!
Win32.CthonicWorm.1a by -=[Azag-TH0TH]=-
Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Repare (*) los archivos detectados como infectados
(*) Algunos archivos del virus solo podrán ser borrados
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre la entrada que haga referencia al siguiente archivo:
c:\snowboard_accident.avi????????????????????????.exe
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre la entrada que haga referencia al siguiente archivo:
c:\snowboard_accident.avi????????????????????????.exe
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/thonic-b.htm
