W32/VB.CT. Se propaga por email, P2P, e IRCNombre: W32/VB.CT
Nombre NOD32: Win32/VB.CT
Nombre más divulgado: Elitper.D
Tipo: Gusano de Internet
Alias: VB.CT, Elipter.D, Email-Worm.Win32.Micsur.a, W32.Elitper.D@mm, W32/Elitper.D.worm, W32/Elitper-D, W32/Generic.a@MM, W32/Generic.m, WIN.SCRIPT.IRC.WORM.Virus, Win32.Elitper.B, Win32.Worm.Elitper.D, Win32/VB.CT, Worm/VB.CT, WORM_ELITPER.D, W32.surconfluge.B@mm
Plataforma: Windows 32-bit
Tamaño: 10,107 bytes (Mew)
Este gusano, escrito en Microsoft Visual Basic 6.0 y comprimido con la herramienta Mew packer 1.1 se propaga por correo electrónico, redes P2P y canales de IRC.
En el primer caso, utiliza mensajes con las siguientes características, enviándose a todos los contactos de la libreta de direcciones de Windows:
Asunto:
Fwd:Attention
Texto del mensaje:
Download This Update For Removing SP2 Bug
Datos adjuntos:
SP2 Bug Remove.exe
En el caso de redes P2P, el gusano es capaz de propagarse por las siguientes redes de intercambio de archivos entre usuarios:
BearShare
Edonkey2000
Grokster
KaZaA
KaZaA Lite
KMD
Morpheus
En estos casos cuando se ejecuta, se copia en las carpetas compartidas por defecto de estas utilidades, con los siguientes nombres:
WWE Torrie And Sable Screan Saver.exe
Playboy Screen Saver.exe
El gusano comparte las unidades C, D y E a través de la red.
Finaliza la ejecución de varios procesos conocidos, y modifica el archivo HOSTS para prevenir el acceso del usuario infectado a determinados sitios de Internet, generalmente sitios de seguridad y antivirus.
Modifica el registro para prevenir que el usuario realice las siguientes tareas:
- Ejecutar programas desde Inicio, Ejecutar
- Utilizar el editor del registro
- Abrir el Administrador de tareas
El troyano previene la ejecución de ciertas aplicaciones, y deshabilita las siguientes acciones del Internet Explorer:
- Cerrar las ventanas de Internet Explorer
- Opciones de abrir, grabar e imprimir archivos del IE
Además, deshabilita las notificaciones de actualizaciones y los eventos del Centro de seguridad de Windows XP SP2 (notificación de antivirus, etc.).
Cambia el nombre de la computadora infectada por el siguiente:
surconfluge
Cuando se ejecuta, crea las siguientes copias de si mismo:
c:\archivos de programa\Internet Explorer\IExplore .exe
c:\archivos de programa\Internet Explorer\SP2 Bug Remove.exe
c:\archivos de programa\Internet Explorer\WWE DIVAS.exe
c:\archivos de programa\Windows Media Player\wmlaunch .exe
[carpeta de inicio]\XPStartUp
c:\windows\TASKMGR .exe
El archivo "XPStartUp", es una copia del gusano, pero no tiene extensión. Algunos nombres agregan un espacio en blanco antes de la extensión.
NOTA: [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\all users\menú inicio\programas\inicio
c:\documents and settings
\all users\start menu\programs\startup
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\all users\menú inicio\programas\inicio
c:\windows\all users\start menu\programs\startup
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
El gusano crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Firewall =
"c:\archivos de programa\Windows Media Player\wmlaunch .exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Protection =
"c:\archivos de programa\Internet Explorer\IExplore .exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SysRes =
"c:\archivos de programa\Internet Explorer\WWE DIVAS.exe"
También modifica el archivo SCRIPT.INI de la carpeta del mIRC, si el usuario tiene instalado este cliente de IRC, para propagarse por canales de chat, con el siguiente nombre de archivo:
WWE DIVAS.exe
El gusano es capaz de propagarse por las siguientes redes de intercambio de archivos entre usuarios:
BearShare
Edonkey2000
Grokster
KaZaA
KaZaA Lite
KMD
Morpheus
Para ello, se copia en las carpetas compartidas por defecto de estas utilidades, con los siguientes nombres:
WWE Torrie And Sable Screan Saver.exe
Playboy Screen Saver.exe
También modifica la siguiente entrada del registro para asegurarse de compartir la carpeta del KaZaa:
HKCU\Software\Kazaa\LocalContent
DisableSharing = "0"
Finaliza la ejecución de las siguientes aplicaciones:
ccapp.exe
DAP.exe
dllhost.exe
iexplore.exe
LSASS.exe
mdm.exe
msgmsgr.exe
regedit.com
smss.exe
SVCHOST.exe
VB6.exe
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
http:/ /oe .msn .msnmail .hotmail .com/cgi-bin/hmdata
http:/ /services .msn .com/svcs/hotmail/httpmail .asp
http:/ /www .microsoft .com/isapi/redir .dll?prd=ie&ar=hotmail
messenger .hotmail .com
www .about .com
www .altavista .com
www .alltheweb .com
www .download .com
www .emp3finder .com
www .geocities .com
www .google .com
www .guitar-pro .com
www .hdpvidz .com
www .hotmail .com
www .kazaa .com
www .mcafee .com
www .microsoft .com
www .msn .com
www .mysongbook .com
www .nero .com
www .net2phone .com
www .regedit .com
www .rohitab .com
www .roxio .com
www .symantec .com
www .themetsource .com
www .trendmicro .com
www .urbanchaosvideos .com
www .vbcode .com
www .wwe .com
www .yahoo .com
El gusano crea o modifica las siguientes entradas del registro para restringir las funcionalidades del equipo infectado:
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "dword:00000001"
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001"
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
DisallowRun = "1"
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
NoRun = "dword:00000001"
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
NoFind = "dword:00000001"
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
NoCloseKey = "1"
HKLM\Software\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Policies\Microsoft\
WindowsFirewall
DomainProfile = "dword:00000000"
HKLM\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares
Disk = "hex(7):43,53,43,46,6c,61,67,73,3d,30,00,
4d,61,78,55,73,65,73,3d,34,32,39,34,39,36,37,32,
39,35,00,50,61,74,68,3d,41,3a,5c,00,50,65,72,6d,
69,73,73,69,6f,6e,73,3d,36,33,00,54,79,70,65,3d,
30,00,00,"
HKCU\Software\Policies\Microsoft\
Internet Explorer\Restrictions
NoFileOpen = "dword:00000001"
HKCU\Software\Policies\Microsoft\
Internet Explorer\Restrictions
NoPrinting = "dword:00000001"
HKCU\Software\Policies\Microsoft\
Internet Explorer\Restrictions
NoBrowserSaveAs = "dword:00000001"
HKCU\Software\Policies\Microsoft\
Internet Explorer\Restrictions
NoBrowserClose = "dword:00000001"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
1 = notepad.exe
2 = wordpad.exe
3 = regedit.exe
4 = msnmsgr.exe
5 = msmsgs.exe
6 = gp4.exe
7 = help.exe
8 = wmplayer.exe
10 = excel.exe
11 = winword.exe
12 = winhelp.exe
13 = wmplayer.exe
14 = winrar.exe
15 = winzip.exe
16 = CLEAN_NOTEPAD.EXE
17 = ACDSee6.exe
18 = acrord32.exe
19 = ntbackup.exe
20 = moviemk.exe
21 = defrag.exe
23 = netstat.exe
25 = lupdate
26 = shutdown.exe
27 = sndvol32.exe
28 = sndrec32.exe
30 = write.exe
32 = dxdiag.exe
33 = ntbackup.exe
38 = dialer.exe
39 = findstr.exe
40 = dllhost.exe
44 = print.exe
45 = trendmicro.com
46 = UPX-iT.exe
47 = NAVW32.exe
48 = NAVWNT.exe
49 = NAVSTUB.exe
50 = navui.nsi
51 = CCIMSCN.exe
52 = MSDEV.exe
54 = chktrust.exe
55 = apssm.exe
56 = SNDSrvc.exe
57 = NMain.exe
58 = Ra2.exe
59 = vfp6.exe
60 = setup.exe
61 = install.exe
62 = savscan.exe
67 = ad-aware.exe
68 = remove.exe
69 = uninstall.exe
70 = NeroStartSmart.exe
71 = uninst.exe
72 = isuninst.exe
75 = aawsepersonal.exe
76 = avast.exe
78 = keygen.exe
80 = cmd.exe
81 = project1.exe
82 = 1.exe
83 = program.exe
84 = application.exe
85 = file.exe
86 = browser.exe
87 = UNWISE.exe
88 = play.exe
89 = directcd.exe
90 = bind.exe
Estas modificaciones previenen que los usuarios ejecuten programas desde Inicio, Ejecutar, utilicen el editor del registro o abran el Administrador de tareas, además de compartir las unidades de disco C, D y E en una red.
También se impide que los siguientes programas puedan ser ejecutados:
aawsepersonal.exe
ACDSee6.exe
acrord32.exe
ad-aware.exe
application.exe
apssm.exe
avast.exe
bind.exe
browser.exe
CCIMSCN.exe
CLEAN_NOTEPAD.EXE
cmd.exe
chktrust.exe
defrag.exe
dialer.exe
directcd.exe
dllhost.exe
dxdiag.exe
excel.exe
file.exe
findstr.exe
gp4.exe
help.exe
install.exe
isuninst.exe
keygen.exe
lupdate
moviemk.exe
MSDEV.exe
msmsgs.exe
msnmsgr.exe
NAVSTUB.exe
navui.nsi
NAVW32.exe
NAVWNT.exe
NeroStartSmart.exe
netstat.exe
NMain.exe
notepad.exe
ntbackup.exe
play.exe
print.exe
program.exe
project1.exe
Ra2.exe
regedit.exe
remove.exe
savscan.exe
setup.exe
shutdown.exe
sndrec32.exe
SNDSrvc.exe
sndvol32.exe
trendmicro.com
uninst.exe
uninstall.exe
UNWISE.exe
UPX-iT.exe
vfp6.exe
winhelp.exe
winrar.exe
winword.exe
winzip.exe
wmplayer.exe
wmplayer.exe
wordpad.exe
write.exe
Tampoco deja que se cierren las ventanas del Internet Explorer, o que abra, grabe o imprima algún archivo desde el IE, además de deshabilitar las notificaciones del Centro de seguridad de Windows XP SP2, o la notificación de actualizaciones de componentes de Windows.
Finalmente, también se cambia el nombre de la computadora infectada por "surconfluge".
El gusano libera el siguiente archivo de texto, no malicioso, en el raíz del disco actual (generalmente C:\):
c:\Virus Detected.txt
Este archivo contiene solo el siguiente texto:
Worm is detected on your computer (W32.surconfluge.B@mm),
Reparación Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.
Descargue herramienta de limpieza
1. Descargue el siguiente archivo:
http://www.videosoft.net.uy/repara-vb-ct.vbs2. Guárdelo en una carpeta a la que luego pueda acceder fácilmente.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\Virus Detected.txt
c:\archivos de programa\Internet Explorer\IExplore .exe
c:\archivos de programa\Internet Explorer\SP2 Bug Remove.exe
c:\archivos de programa\Internet Explorer\WWE DIVAS.exe
c:\archivos de programa\Windows Media Player\wmlaunch .exe
[carpeta de inicio]\XPStartUp
c:\windows\TASKMGR .exe
El archivo "XPStartUp", es una copia del gusano, pero no tiene extensión. Algunos nombres agregan un espacio en blanco antes de la extensión.
NOTA: [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\all users\menú inicio\programas\inicio
c:\documents and settings
\all users\start menu\programs\startup
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\all users\menú inicio\programas\inicio
c:\windows\all users\start menu\programs\startup
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Reparar el registro1. Localice la herramienta descargada antes en el ítem "Descargue herramienta de limpieza", y haga doble clic sobre él para reparar el registro.
2. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Restaurar el nombre de la computadora1. Ejecute el editor de registro. Desde Inicio, Ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Office
\[versión]
\Outlook
[versión es el número de versión de Office, por ejemplo 9.0, 10.0, etc.
3. Haga clic en la carpeta "Outlook" y en el panel de la derecha busque y haga clic sobre la siguiente entrada:
Machine Name
4. Ingrese el nombre verdadero de su computadora.
5. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
6. Haga clic en la carpeta "CurrentVersion" y en el panel de la derecha busque y haga clic sobre la siguiente entrada:
RegisteredOwner
7. Ingrese el nombre verdadero de su computadora.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\ComputerName
\ActiveComputerName
9. Haga clic en la carpeta "ActiveComputerName" y en el panel de la derecha busque y haga clic sobre la siguiente entrada:
ComputerName
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Modificar SCRIPT.INI (mIRC)1. Localice el archivo SCRIPT.INI en la carpeta del mIRC, y haga clic en el archivo (se abrirá el bloc de notas con el contenido de SCRIPT.INI).
2. Elimine todas las líneas que hagan referencia al nombre del gusano:
WWE DIVAS.exe
3. Grabe los cambios.
Restaurar archivo HOSTS1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/vb-ct.htm
