W32/Elitper.A. Se propaga por redes P2P e IRCNombre: W32/Elitper.A
Tipo: Gusano de Internet
Alias: Elitper, Win32/Elitper.A, WORM_ELITPER.A
Plataforma: Windows ME, NT, 2000 y XP
Tamaño: 9,392 bytes (MEW)
Este gusano se propaga por redes P2P y canales de IRC. También intenta propagarse por correo electrónico, pero esta rutina no funciona correctamente.
Suele utilizar el siguiente nombre para copiarse en las carpetas compartidas de redes P2P, aunque en ocasiones podría aparecer con otro nombre:
Media Center Crack.exe
Cuando se ejecuta, crea las siguientes copias en las siguientes carpetas del sistema del equipo infectado:
[Archivos de programa]\Internet Explorer\Firewall.exe
[Archivos de programa]\Windows Media Player\wmlaunch .exe
[Windows]\TASKMANAGER.exe
También puede crear una copia con el siguiente nombre y ubicación:
[Archivos de programa]\Microsoft Office\Office10\WINWORD.exe
Para ejecutarse en cada reinicio del sistema, crea las siguientes entradas en el registro de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Firewall = "[Archivos de programa]\Windows Media Player\wmlaunch .exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Protection = "[Archivos de programa]\Internet Explorer\Firewall.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SysRes = "[Windows]\TASKMANAGER.exe"
Si está instalado el programa mIRC en el sistema, el gusano modifica el archivo SCRIPT.INI agregando la siguiente línea para ejecutarse cada vez que dicha aplicación es abierta:
n1=on 1:START:/run c:\Program Files\Internet Explorer\Firewall.exe
El gusano puede propagarse por las siguientes redes de archivos P2P:
BearShare
KaZaA
KaZaA Lite
Morpheus
Para ello, busca las carpetas compartidas por defecto, y se copia en ellas con el siguiente nombre:
Media Center Crack.exe
Si la víctima infectada utiliza KaZaa, la siguiente clave del registro es modificada o agregada, para que dicho archivo sea compartido, aún cuando se haya configurado el programa para no hacerlo:
HKCU\Software\Kazaa\LocalContent
DisableSharing = "0"
El gusano intenta enviarse como un archivo adjunto a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, pero por un error en su código suele fallar en su intento.
Si lograra enviarse, los mensajes podrían tener estas características:
Asunto: [vacío]
Texto del mensaje: Microsoft(c) Lastest Update For CD-ROM
Datos adjuntos: Firewall.exe
El gusano intenta finalizar los siguientes procesos si cualquiera de ellos estuviera activo:
ccapp.exe
DAP.exe
dllhost.exe
gp4.exe
iexplore.exe
LSASS.exe
mdm.exe
PTEditor.exe
regedit.exe
smss.exe
SVCHOST.exe
VB6.exe
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
http:/ /www .microsoft .com/isapi/redir .dll?prd=ie&ar=hotmail
messenger .hotmail .com
raw .wwe .com
smackdown .wwe .com
www .about .com
www .alalettre .com
www .altavista .com
www .alltheweb .com
www .bearshare .com
www .cnn .com
www .cradleofilth .com
www .download .com
www .emp3finder .com
www .geocities .com
www .google .com
www .guitar .pro .com
www .hdpvidz .com
www .hotmail .com
www .ironmaiden .com
www .kazaa .com
www .knowyournews .com
www .mcafee .com
www .metallica .com
www .microsoft .com
www .msn .com
www .mysongbook .com
www .nero .com
www .net2phone .com
www .regedit .com
www .rohitab .com
www .roxio .com
www .startacademy .fr
www .symantec .com
www .themetsource .com
www .thisiscyberia .com
www .trendmicro .com
www .urbanchaosvideos .com
www .vbcode .com
www .wwe .com
www .yahoo .com
El gusano es capaz de restringir el acceso a herramientas administrativas, tales como el Administrador de tareas, el editor del registro, además de impedir que el equipo pueda descargar actualizaciones del sitio de Microsoft, o que el usuario puede utilizar la opción Inicio, Ejecutar.
Para ello, crea o modifica las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "dword:00000001"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
DisallowRun = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoRun = "dword:00000001"
HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
AUOptions = "dword:00000001"
HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "dword:00000001"
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
AUOptions = "dword:00000001"
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "dword:00000001"
También modifica el registro para impedir que los siguientes programas puedan ejecutarse:
1.exe
A1 DVD Ripper.exe
aawsepersonal.exe
ACDSee6.exe
acrord32.exe
ad-aware.exe
application.exe
avast.exe
CCIMSCN.exe
chktrust.exe
cmd.exe
defrag.exe
dialer.exe
dllhost.exe
dxdiag.exe
excel.exe
file.exe
findstr.exe
fixblast.exe
gp4.exe
help.exe
install.exe
isuninst.exe
keygen.exe
mirc.exe
moviemk.exe
MSDEV.exe
msmsgs.exe
msnmsgr.exe
NAVSTUB.exe
navui.nsi
NAVW32.exe
NAVWNT.exe
nero.exe
netstat.exe
NMain.exe
notepad.exe
ntbackup.exe
ntbackup.exe
print.exe
program.exe
project1.exe
regedit.exe
remove.exe
savscan.exe
setup.exe
shutdown.exe
sndrec32.exe
SNDSrvc.exe
sndvol32.exe
svchost.exe
svghost.exe
uninst.exe
uninstall.exe
vfp6.exe
winhelp.exe
winrar.exe
winword.exe
winzip.exe
wmplayer.exe
wmplayer.exe
wordpad.exe
write.exe
xcopy.exe
Crea también las siguientes entradas para deshabilitar las notificaciones de actualizaciones de Windows, avisos del Centro de seguridad (Windows XP SP2), y deshabilitar la herramienta "Restaurar sistema" en Windows ME y XP:
HKCU\Software\Microsoft\security center
AntiVirusDisableNotify = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
HKCU\Software\Microsoft
\Windows NT\CurrentVersion\systemrestore
DisableSR = "dword:00000001"
HKCU\Software\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000001"
HKCU\Software\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000001"
HKLM\Software\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000001"
HKLM\Software\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000001"
HKLM\Software\Microsoft
\Windows NT\CurrentVersion\systemrestore
DisableSR = "dword:00000001"
HKLM\System\CurrentControlSet\Services\lanmanserver\Shares
Disk = "hex(7):43,53,43,46,6c,61,67,73,3d,30,00,4d,61,78,55,
73,65,73,3d,34,32,39,34,39,36,37,32,39,35,00,50,61,
74,68,3d,43,3a,5c,00,50,65,72,6d,69,73,73,69,
6f,6e,73,3d,36,33,00,54,79,70,65,3d,30,00,00,"
El gusano intenta agregar los siguientes usuarios al equipo infectado:
Don't-Delete
Protection
RePtiLe
Worm
También cambia el nombre de la computadora por el siguiente:
RePtiLe
Reparación Antivirus y edición del registro
1. Actualice sus antivirus con las últimas definiciones.
2. Descargue el siguiente archivo en el escritorio de Windows (o donde tenga fácil acceso a él más tarde):
http://www.videosoft.net.uy/elitper.reg 3. Reinicie Windows en modo a prueba de fallos
4. Haga doble clic sobre el archivo .REG descargado en el punto 2, para agregar su contenido al registro.
5. Ejecute el editor del registro. Desde Inicio, Ejecutar escriba REGEDIT y pulse ENTER
6. Haga clic en la carpeta "Mi PC" de la ventana izquierda, seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada lo siguiente:
ComputerName
7. En "Buscar en" marque solo la casilla "Valores" y haga clic en el botón "Buscar siguiente".
8. Cambie los datos de cada aparición de "ComputerName" por el nombre de su equipo (para continuar la búsqueda después de cada cambio, solo pulse F3).
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros.
11.
12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Modificar SCRIPT.INI (mIRC)1. Localice el archivo SCRIPT.INI en la carpeta del mIRC, y haga clic en el archivo (se abrirá el bloc de notas con el contenido de SCRIPT.INI).
2. Elimine la siguiente línea:
n1=on 1:START:/run c:\Program Files\Internet Explorer\Firewall.exe
3. Grabe los cambios.
Restaurar archivo HOSTS1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/elitper-a.htm
