I-Worm.Tanatos.b

I-Worm.Tanatos.b« Volver al listado de Virus

Alias:
Bugbear.B, W32/Bugbear.B@mm, I-Worm.Bugbear.B, Win32.Bugbear.B

Este virus de tipo gusano se difunde en Internet como adjunto en correos infectados. El virus tiene un tamaño de unos 70 KB (comprimido con UPX), una vez descomprimido su tamaño es de 170 KB, está escrito en Microsoft visual C++.

Infección y carga:
El gusano sólo se ejecutara e infectara un ordenador desde el correo electrónico infectado en caso de que el usuario haga clic en el archivo adjunto o no tenga el Outlook Express actualizado.

El gusano crea en el directorio System del Windows:

-     gpflmvo.dll
-     zpknpzk.dll
-     shtchs.dll

En el directorio de Windows:

-     %rnd name%.dat

En el directorio Temp:

-     vba%rnd%.tmp - copia del gusano

En la directorio Archivos de Programa, el virus infecta (si existen) los siguientes archivos:

-     winzip\winzip32.exe    -     MSN Messenger\msnmsgr.exe
-     kazaa\kazaa.exe    -     ACDSee32\ACDSee32.exe
-     ICQ\Icq.exe    -     Adobe\Acrobat 4.0\Reader\AcroRd32.exe
-     DAP\DAP.exe    -     CuteFTP\cutftp32.exe
-     Winamp\winamp.exe    -     Far\Far.exe
-     AIM95\aim.exe    -     Outlook Express\msimn.exe
-     Lavasoft\Ad-aware 6\Ad-aware.exe    -     Real\RealPlayer\realplay.exe
-     Trillian\Trillian.exe    -     Windows Media Player\mplayer2.exe
-     Zone Labs\ZoneAlarm\ZoneAlarm.exe    -     WinRAR\WinRAR.exe
-      StreamCast\Morpheus\Morpheus.exe    -     adobe\acrobat 5.0\reader\acrord32.exe
-     QuickTime\QuickTimePlayer.exe    -     Internet Explorer\iexplore.exe
-     WS_FTP\WS_FTP95.exe

También infecta a los siguientes archivos del directorio windows:

-     winhelp.exe    -     mplayer.exe
-     notepad.exe    -     regedit.exe
-     hh.exe    -     scandskw.exe

El virus intenta detener los siguientes programas:

-     AVP32.EXE    -     ICMON.EXE
-     AVPCC.EXE    -     ICSUPP95.EXE
-     AVPM.EXE    -     LOCKDOWN2000.EXE
-     ACKWIN32.EXE    -     LOOKOUT.EXE
-     ANTI-TROJAN.EXE    -     LUALL.EXE
-     APVXDWIN.EXE    -     MOOLIVE.EXE
-     AUTODOWN.EXE    -     MPFTRAY.EXE
-     AVCONSOL.EXE    -     N32SCANW.EXE
-     AVE32.EXE    -     NAVAPW32.EXE
-     AVGCTRL.EXE    -     NAVLU32.EXE
-     AVKSERV.EXE    -     NAVNT.EXE
-     AVNT.EXE    -     NAVW32.EXE
-     AVP.EXE    -     NAVWNT.EXE
-     AVP32.EXE    -     NISUM.EXE
-     AVPCC.EXE    -     NMAIN.EXE
-     AVPDOS32.EXE    -     NORMIST.EXE
-     AVPM.EXE    -     NUPGRADE.EXE
-     AVPTC32.EXE    -     NVC95.EXE
-     AVPUPD.EXE    -     OUTPOST.EXE
-      AVSCHED32.EXE    -     PADMIN.EXE
-     AVWIN95.EXE    -     PAVCL.EXE
-     AVWUPD32.EXE    -     PAVSCHED.EXE
-     BLACKD.EXE    -     PAVW.EXE
-     BLACKICE.EXE    -     PCCWIN98.EXE
-     CFIADMIN.EXE    -     PCFWALLICON.EXE
-     CFIAUDIT.EXE    -     PERSFW.EXE
-     CFINET.EXE    -     RAV7.EXE
-     CFINET32.EXE    -     RAV7WIN.EXE
-     CLAW95.EXE    -     RESCUE.EXE
-     CLAW95CF.EXE    -     SAFEWEB.EXE
-     CLEANER.EXE    -     SCAN32.EXE
-     CLEANER3.EXE    -     SCAN95.EXE
-     DVP95.EXE    -     SCANPM.EXE
-     DVP95_0.EXE    -     SCRSCAN.EXE
-     ECENGINE.EXE    -     SERV95.EXE
-     ESAFE.EXE    -     SMC.EXE
-     ESPWATCH.EXE    -     SPHINX.EXE
-     F-AGNT95.EXE    -     SWEEP95.EXE
-     F-PROT.EXE    -     TBSCAN.EXE
-     F-PROT95.EXE    -     TCA.EXE
-     F-STOPW.EXE    -     TDS2-98.EXE
-     FINDVIRU.EXE    -     TDS2-NT.EXE
-     FP-WIN.EXE    -     VET95.EXE
-     FPROT.EXE    -     VETTRAY.EXE
-     FRW.EXE    -     VSCAN40.EXE
-     IAMAPP.EXE    -     VSECOMR.EXE
-     IAMSERV.EXE    -     VSHWIN32.EXE
-     IBMASN.EXE    -     VSSTAT.EXE
-     IBMAVSP.EXE    -     WEBSCANX.EXE
-     ICLOAD95.EXE    -     WFINDV32.EXE
-     ICLOADNT.EXE    -     ZONEALARM.EXE ICSUPPNT.EXE
-     IBMAVSP.EXE    -     WEBSCANX.EXE
-     IFACE.EXE    -     IOMON98.EXE
-     JEDI.EXE

Propagación vía e-mail:
Para enviarse por correo, el gusano utiliza su propio motor SMTP, no dependiendo del cliente de correo instalado.

Para conseguir víctimas donde enviarse el gusano busca en archivos con la extensión :

-     ODS    -     EML
-     MMF    -     TBB
-     NCH    -     DBX
-     MBX    -     INBOX

Los mensajes infectados tiene diferentes asuntos, cuerpos y archivos adjuntos.

Propagación por la red:
El gusano enumera las carpetas compartidas en red, y si tiene los permisos, intentará copiarse en alguno de los siguientes directorios:

-     Documents and Settings\All Users\Start Menu\Programs\Startup\
-     Windows\All Users\Start Menu\Programs\StartUp\

Estas carpetas son las de inicio, por lo cual en los ordenadores donde se ha copiado, se cargará el gusano en memoria cuando sean reiniciados.

Desinfección:
Actualice su antivirus ejecutando la tarea KAV Updater y a continuación ejecute la tarea escaner con la opción de "preguntar " en caso de detección de virus.

Cuando detecte algún archivo infectado intente desinfectarlo y si esto no es posible o directamente observa que es uno de los archivos creados por el virus según la descripción anterior, seleccione "borrar", así eliminara cualquier rastro del virus.

Si el virus ha afectado al correcto funcionamiento del Kaspersky Antivirus y no puede actualizar o ejecutar el escáner del antivirus, pruebe a escanear el ordenador reiniciandolo en "modo a prueba de fallos" o "modo seguro".

Si aun así tiene problemas descargue y ejecute esta utilidad (CLRAV.COM) luego reinicie su PC y vuelva a escanear su ordenador.

Para evitar que le entren virus de este tipo debe instalar las actualizaciones del Internet Explorer y Outlook Express de Microsoft:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811630

Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escaner del antivirus a soporte@codine.es.