W32/Hobot.F. Utiliza disquetes y recursos compartidos
Nombre: W32/Hobot.F
Nombre Nod32: Win32/Hobot.F
Tipo: Gusano
Alias: Hobot.F, Win32/Hobot.F, Win32.Liberbbit.A@mm, I-Worm.Famus.g, W32/Famus.D.worm, W32/Liberbbit.worm,
W32.Hobot.Worm, W32/Hobot.worm
Plataforma: Windows 32-bit
Tamaño: 45,056 bytes
Se trata de un gusano que se disfraza como una animación de Flash (Macromedia Flash Animation), mostrándose con el icono característico de dichos archivos.
Cuando se ejecuta, se copia a si mismo en las siguientes ubicaciones y con los siguientes nombres:
\TEMP\sisteminfo.exe
c:\recycled\printer.exe
c:\windows\system\avp.exe
c:\windows\system\sisteminfo.exe
c:\windows\system\spoolsv.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
AVPToolkit = C:\Windows\System\AVP.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PrinterMonitor = C:\recycled\Printer.exe
El gusano crea un servicio llamado "Spoolsv" (spoolsv.exe) cada vez que se ejecuta.
Intenta copiarse a si mismo a cualquier disquete sin protección insertado en la unidad de disquetes A:, con alguno de los siguientes nombres:
Anillos de oro.exe
Carrozas se fuego.exe
El arte de morir.exe
Sexo y Humor.exe
El mar y la vieja.exe
Poesia del alma.exe
Profesias de Nostradamus.exe
El conodom feliz.exe
Pepito y el Rey.exe
El patito feo!.exe
También intenta copiarse en recursos compartidos con permisos de escritura habilitados, examinando las siguientes entradas del registro para localizar unidades y carpetas compartidas:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\WorkgroupCrawler\Shares
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders
Intenta además copiarse en los siguientes recursos compartidos:
c$:\documents and settings\all users
\start menu\programs\startup\Microsoft Officce.exe
c$:\windows\start menu\programs
\startup\Microsoft Officce.exe
c$:\winnt\profiles\all users\start menu
\programs\startup\Microsoft Officce.exe
También intenta deshabilitar el Administrador de tareas de Windows.
El gusano está programado en Visual Basic 6, requiriendo para su funcionamiento la presencia de la librería MSVBVM60.DLL (Visual Basic Virtual Machine). Este archivo puede haber sido instalado por otra aplicación (por ejemplo Office).
Tampoco funciona si en la máquina infectada no existe el archivo VB6ES.DLL (Spanish Visual Basic 6 runtime library). Este archivo no se encuentra presente en la mayoría de las computadoras, salvo que otro programa lo hubiera instalado. Tampoco suele estar en computadoras con un idioma diferente al español.
Si cualquiera de esas librerías no estuviera presente al ejecutarse, el gusano muestra una ventana con el siguiente texto:
[Nombre del archivo]
Can't open this file or one of it's components
[ Aceptar ]
En Windows XP con SP2, el gusano falla al intentar propagarse e infectar el sistema.
El código del gusano contiene el siguiente texto:
Esta computadora ha sido infectada
por el virus LIBERTAD.
Como protesta por la violación del derecho a
la libertad de expresión en Cuba.
En estos momentos toda la información de su
disco duro esta siendo borrada
El Hobbit
Reparación
Deshabilitar los recursos compartidosEs importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:1. Detenga el proceso del virus en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale las siguientes:
Spoolsv
spoolsv.exe
3. Seleccione el botón de finalizar tarea ("Terminar proceso" en Windows XP).
En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.
Borrar manualmente archivos agregados por el virus1. Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\avp.exe
c:\windows\system\sisteminfo.exe
c:\windows\system\spoolsv.exe
2. Abra una ventana de símbolo del sistema (o MS-DOS).
3. Desde la línea de comandos escriba la siguiente orden y pulse Enter:
DEL c:\recycled\printer.exe
4. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
AVPToolkit = C:\Windows\System\AVP.exe
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
PrinterMonitor = C:\recycled\Printer.exe
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Antivirus1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
4. Reitere estos pasos en cada disquete previamente utilizado
5. Reitere estos pasos en cada computadora conectada en red
Borrar archivos temporales de Windows1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/hobot-f.htmW32/Shodi.D. Infecta archivos EXE, libera troyanoNombre: W32/Shodi.D
Nombre Nod32: Win32/HLLP.Shodi.D
Tipo: Virus
Alias: Shodi.D, Win32/HLLP.Shodi.D, W32/Shodi-F, Win32.HLLP.Shodi.d, W32/Shodi.worm.f, W32.Shodi.D
Plataforma: Windows 32-bit
Virus que se agrega al principio de todos los archivos con extensión .EXE, a excepción de algunos del sistema del propio Windows.
Además, intenta infectar específicamente a los siguientes archivos de la carpeta de Windows:
Scandskw.exe
Winmine.exe
Sol.exe
Pbrush.exe
Notepad.exe
Los archivos originales (archivos hosts) no son borrados, son copiados con la extensión .USR, y luego de la ejecución del propio virus, éste ejecuta esos archivos.
Crea también la siguiente copia temporal:
c:\windows\system\USR_Shohdi_Photo_USR.rsu
Modifica luego el archivo temporal cambiándole el icono por el del archivo host.
Sobrescribe el archivo host con la siguiente estructura:
[USR_Shohdi_Photo_USR.rsu] + [host] + [28 bytes]
Finalmente borra el archivo temporal.
También crea un hilo de ejecución con el que busca e infecta otros archivos .EXE del sistema, incluyendo aquellos ubicados en cualquier recurso de red compartido.
El virus libera también el troyano de administración remota Troj/Remadm.C. Este troyano libera dentro de la carpeta del sistema de Windows, los siguientes archivos:
VIRT.exe
USR_Shohdi_Photo_USR.exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El virus también puede liberar un archivo JPG en la carpeta del sistema, con el siguiente nombre:
USR_Shohdi_Photo_USR.jpg
El virus busca todos los archivos con extensión .EXE de las unidades de disco C en adelante para infectarlos. Evita infectar archivos como los siguientes:
ccApp.exe
ccRegVfy.exe
IEXPLORE.EXE
También evita examinar dentro de los siguientes directorios:
c:\windows
c:\windows\system
El componente troyano queda a la escucha por un puerto TCP al azar, de las instrucciones que un usuario remoto podrá enviarle, para realizar una variedad de operaciones no autorizadas en el sistema infectado.
Reparación manualNOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Deshabilitar cualquier conexión a Internet o una redEs importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Repare (*) los archivos detectados como infectados
(*) Algunos archivos del virus solo podrán ser borrados
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\Windows\System32\AdmDll.dll
c:\Windows\System32\MyVirt.exe
c:\Windows\System32\USR_Shohdi_Photo_USR.exe
c:\Windows\System32\USR_Shohdi_Photo_USR.jpg
c:\Windows\System32\VIRT.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
Virt.exe
MyVirt.exe
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\radmin
5. Pinche en la carpeta "radmin" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/shodi-d.htm
