W32/Breacuk.A. Usa mensajes en español y otros idiomas Nombre: W32/Breacuk.A
Tipo: Gusano de Internet
Alias: Breacuk, Breacuk.A, Breaker, breaKer_cUk, Email-Worm.Win32.Breacuk.a, I-Worm/Breacuk.A, NewHeur_PE, W32/Beaker-A, W32/Beaker-A, Win32.Beaker.A@mm, Worm/Breacuk.A, WORM_BEAKER.A, W32.Beaker.A@mm
Plataforma: Windows 32-bit
Tamaño: 16,134 bytes
Gusano que se propaga por correo electrónico, con asuntos y mensajes en diferentes idiomas, entre ellos español.
El texto del mensaje intenta hacer creer que el archivo enviado está limpio de virus (jamás debemos abrir adjuntos no solicitados, sin importar el remitente y mucho menos en mensajes que no podemos comprobar).
El gusano puede sobrescribir algunos archivos con un texto, dejándolos inutilizables.
Para enviarse a otros equipos, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), de tal modo que no importa que cliente de correo se tenga instalado.
Para propagarse, busca direcciones de correo en diferentes archivos del sistema.
El gusano crea múltiples copias de si mismo con nombres al azar en el sistema infectado. Sin embargo la presencia de un archivo B6.LOG en la carpeta de archivos temporales de Windows (TEMP), y el archivo CODM sin extensión en la carpeta de Windows, pueden ser un indicio de infección.
El gusano puede presentarse en mensajes con las siguientes características:
Asunto: [uno de los siguientes]
- Re:FW: imposs vel s-lo tanto... :P, v
- Re:FW: impossyvel su-lo tanto... :P, vu-lo
- Re:FW:(none)
- Re:FW:Aid please! :), to see it
- Re:FW:Aide s'il vous plait! :), pour le voir
- Re:FW:Aide s'il vous plat! :), pour le voir
- Re:FW:Ajuda a ajudar-te... :), v
- Re:FW:Ajuda a ajudar-te... :), vu-lo
- Re:FW:Ayudame a ayudarte... :), miralo
- Re:FW:Because it is worth ,to see it
- Re:FW:Besser Witz des Jahres:), um es zu sehen
- Re:FW:Besserer Idiot des Jahres, um es zu sehen
- Re:FW:Besseres Foto des Jahres;), um es zu sehen
- Re:FW:Better idiot of the year, to see it
- Re:FW:Better joke of the year:), to see it
- Re:FW:Better Photo of the year;), to see it
- Re:FW:Ce que nous voulions toujours... :), pour le voir
- Re:FW:Che cosa abbiamo desiderato sempre... :), vederli
- Re:FW:Die schlechtere Sache des Jahres, um es zu sehen
- Re:FW:Es gibt kein Leben ohne Tod ...: (, um es zu sehen
- Re:FW:Es imposible serlo tanto... :P, miralo
- Re:FW:Es ist unm glich, es soviel ...:P zu sein, es zu sehen
- Re:FW:Foto migliore dell'anno;), per vederla
- Re:FW:Hilfe bitte!:), um es zu sehen
- Re:FW:Idiot migliore dell'anno, vederlo
- Re:FW:Il est impossible d' tre cela tant de ...:P, le voir
- Re:FW:Il n'y a aucune vie sans mort... : (, pour le voir
- Re:FW:impossibile a sia tanto... :P, vederlo
- Re:FW:It is impossible to be it as much... :P, to see it
- Re:FW:La cosa pi?ettosa dell'anno, vederla
- Re:FW:La chose plus mauvaise de l'anne, pour le voir
- Re:FW:Le meilleur idiot de l'ann e, pour le voir
- Re:FW:Lo peor del año, miralo
- Re:FW:Lo que siempre quisimos... :). miralo
- Re:FW:Meilleure Photo de l'anne;), pour le voir
- Re:FW:Mejor chiste del año :),miralo
- Re:FW:Mejor chorrada del año, miralo
- Re:FW:Mejor Foto del año ;), miralo
- Re:FW:Melhor anedota do ano :),v
- Re:FW:Melhor anedota do ano :),vu-lo
- Re:FW:Melhor Foto do ano ;), v
- Re:FW:Melhor Foto do ano ;), vu-lo
- Re:FW:Mieux plaisanterie de l'anne :), pour le voir
- Re:FW:Mieux plaisanterie de l'annue :), pour le voir
- Re:FW:N vida sem morte... :(, v
- Re:FW:No hay vida sin muerte... :(, miralo
- Re:FW:Non ci vita senza morte... :(, vederla
- Re:FW:Nuo hs vida sem morte... :(, vu-lo
- Re:FW:O mas idiota, v
- Re:FW:O mas idiota, vu-lo
- Re:FW:O pior do ano, v
- Re:FW:O pior do ano, vu-lo
- Re:FW:O que sempre quisemos... :). v
- Re:FW:O que sempre quisemos... :). vu-lo
- Re:FW:Parce qu'il vaut, le voir
- Re:FW:Pois vale. v
- Re:FW:Pois vale. vu-lo
- Re:FW:Preis!:D, um es zu sehen
- Re:FW:Premio! :D, vederlo
- Re:FW:Premio!!!! :D, miralo
- Re:FW:Prix! :D, pour le voir
- Re:FW:Prize! :D, to see it
- Re:FW:Prumio!!!! :D, v
- Re:FW:Prumio!!!! :D, vu-lo
- Re:FW:Pues vale. miralo
- Re:FW:Scherzo migliore dell'anno:), per vederlo
- Re:FW:Sussidio per favore! :), per vederlo
- Re:FW:The worse thing of the year, to see it
- Re:FW:There is no life without death... :(, to see it
- Re:FW:Was wir immer ... wollten:), um es zu sehen
- Re:FW:Weil das wert ist, es zu sehen
- Re:FW:What we always wanted...:), to see it
Texto del mensaje: [uno de los siguientes]
Kaspersky-Antivirus.
Kein Virus Gefundenes
State:Ok
Symantec-Antivirus.
Noo Vyrus.
State:Ok
Symantec-Antivirus.
Nessun Virus Found.
State:Ok
Kaspersky-Antivirus.
No Virus Found.
State:Ok
F-Secure-Antivirus.
Aucun Virus Constat
State:Ok
Panda ActiveScan-Antivirus.
No se encontraron virus.
Estado:Ok
Datos adjuntos: [uno de los siguientes]
a.zip
anedota2004.zip
Bilge2004.zip
Bonheur.zip
ck.zip
chiste2004.zip
Daswarniewie das.zip
Eskannnichtsein.zip
essere.zip
explodecarros.zip
Exploitedesvoitures.zip
exploitscars.zip
felicidad.zip
felicidade.zip
Felicitaciones.zip
foto2004.zip
Foto2004.zip
Happiness.zip
Heiligtum.zip
hrt.zip
Ichhabeesber.zip
Ihavetouched it.zip
Ilnepeutpas.zip
Itcannotbe.zip
Itwasneverlikethat.zip
jamasfueasi.zip
Jel'aitouch.zip
Joke2004.zip
Kielraum2004.zip
L'hotoccato.zip
mehatocado.zip
metocou.zip
noneramaicomeci.zip
Nonpu.zip
nopuedeser.zip
nuncafoiassim.zip
opodeser.zip
Peggiore2004.zip
pegote2004.zip
peor2004.zip
photo2004.zip
Photo2004.zip
pior2004.zip
Plaisanterie2004.zip
Plusmauvais2004.zip
rebientacoches.zip
Renflement2004.zip
rio.zip
Sanctuaire.zip
Sanctuary.zip
santu.zip
santuario.zip
Santuario.zip
Scherzo2004.zip
Schlechter2004.zip
stupido2004.zip
taitjamaiscomme.zip
tatAutos.zip
tonto2004.zip
tre.zip
utilizzadelleautomobili.zip
Witz2004.zip
Worse2004.zip
Cuando el contenido del adjunto es ejecutado (doble clic), el gusano se copia varias veces, todas con nombres al azar, en las siguientes carpetas del sistema:
\TEMP
c:\windows\Fonts
c:\windows\system
c:\windows\system32
También crea una copia comprimida (.ZIP) de si mismo con el nombre de B6.LOG en la siguiente ubicación:
\TEMP\b6.log
Crea la siguiente copia de si mismo en formato Base64:
c:\windows\codm
Para asegurarse de autoejecución en cada reinicio de Windows, crea las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\Temp\[nombre].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\Fonts\[nombre].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\System\[nombre].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
????? = "c:\windows\System32\[nombre].exe"
Donde "?????" son caracteres al azar, y el [nombre] del gusano es uno de los archivos creados antes también con nombres al azar.
Para propagarse por correo electrónico se envía a si mismo en mensajes como el ya descrito, a las direcciones encontradas en archivos con las siguientes extensiones del equipo infectado:
.adb
.ade
.asp
.avi
.bak
.bas
.bat
.bin
.bmp
.cfg
.cgi
.cls
.cmd
.com
.css
.csv
.ctl
.ctt
.dat
.dbx
.dhtm
.doc
.eml
.fdb
.frm
.htm
.html
.ihm
.imb
.img
.inf
.ini
.iso
.jpg
.js
.jsp
.log
.logs
.lst
.mda
.mdb
.mdw
.mdx
.mp3
.mpg
.msg
.msi
.nch
.nfo
.nrg
.nws
.oft
.pdf
.php
.pif
.pl
.pmr
.ppt
.rar
.rft
.rpt
.rtf
.scr
.sfc
.sht
.shtm
.swf
.tbb
.txt
.uni
.url
.vap
.vbs
.vcf
.wab
.wma
.wsh
.xls
.xml
.zip
El gusano intenta sobrescribir numerosos archivos del sistema con el siguiente texto:
-=breaKer_cUk-
Cuando detecta una conexión a Internet, abre el navegador para intentar mostrar las siguientes imágenes:
http://www.por???rone.com/ad2_03/images/pc0132hb026.jpg
http://www.por???rone.com/ad2_03/images/pc0132hb072.jpg
http://www.por???rone.com/ad2_03/images/pc0132hb098.jpg
Reparación manualIMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el virus desde el momento de ocurrida la infección, hasta el momento de su detección.
AntivirusPara borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales de Windows1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/breacuk-a.htm
