I-Worm.Winevar

67.-I-Worm.Winevar« Volver al listado de Virus

Alias:
HLLM.Seoul, Korvar,Winevar, Braid.C

Este gusano se transmite mediante correos electrónicos infectados y fue detectado por primera vez en Corea
a finales de Noviembre del 2002.

El gusano en si es un archivo ejecutable (.exe) cuyo tamaño es de 91Kb y esta escrito en Microsoft Visual C++,
ademas muchas líneas del código del gusano estan encriptados.

Infección y carga:
El gusano hace una copia de si mismo con un nombre aleatorio en la siguiente ubicación:

-      C:\Windows\System\win[????].pif o también con la extensión win[????].exe

Donde los símbolos [????] son una combinación aleatoria de 3 o 4 caracteres.

Luego el virus agrega este archivo a las siguientes claves del registro para poder ejecutarse así cada vez que reiniciamos el ordenador:

-      HKCU\Software\Microsoft\Windows\CurrentVersion\Run
-      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
-     HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Se escriben estos dos valores en estas claves:

-      {default} = %ruta del archivo infectado%
-      %nombre archivo% = %ruta del archivo infectado%

Por ejemplo:

-      {default} = "C:\TEMP\WIND2C2.pif"
-      "WINA2B3" = "C:\WINDOWS\SYSTEM\WINA2B3.pif"

Despues el gusano se copia con el nombre de "EXPLORER.PIF" en el escritorio. El gusano busca en el ordenador infectado algún antivirus, firewall o herramientas de analisis y procede a cancelar los procesos que tengan activos alguno de estos programas.

Luego de ello, el gusano muestra una ventana con el siguiente mensaje:

Figura 1

Luego empieza a borrar todos los archivos de los discos duros, probablemente a causa de un fallo en el
codigo del virus.

El gusano contiene una rutina (incompleta) que le permitiría propagarse a través de conexiones en red,
copiándose como EXPLORER.PIF en los recursos compartidos.

Tambien copiará y ejecutará, una copia del virus Win32.FunLove4099. que lleva el gusano en su código,
en el directorio "C:\windows\system".

El gusano intenta conectarse al sitio de Symantec (http://www.symantec.com), en un posible intento de ocasionar
un ataque de denegación de servicio, desde todas las máquinas infectadas.

Propagación:
Para su propagación el virus hace uso de estas dos vunerabilidades conocidas y solucionadas por Microsoft:
"Microsoft VM ActiveX Component".
"Incorrect MIME Header vulnerability" o conocida también como "IFrame exploit/vulnerability".

Para evitar estas vulnerabilidades compruebe que tiene su Sistema Operativo y componentes como: Internet
Explorer y Outlook Express para ello es recomendable que regularmente se ejecute: Inicio > Windows Update.

Estos son algunos ejemplos de correos electrónicos infectados con el I-Worm.Winevar:

Figura 2.

Desinfección del I-Worm.Winevar:
Actualice su antivirus ejecutando la tarea KAV Updater y a continuación ejecute la tarea escaner
con la opción de "preguntar " en caso de detección de virus.

Cuando detecte algún archivo infectado intente desinfectarlo y si esto no es posible o directamente observa que es uno de los archivos creados por el virus según la descripción anterior, seleccione "borrar", así eliminara cualquier rastro del virus.

Si el virus ya ha infectado a su ordenador y le esta borrando archivos del disco duro lo primero que tiene que hacer es apagar el ordenador, evitando asi que elimine mas archivos (que despues tendremos que restaurar). Si llega a este estado la solución es crear los disquetes de rescate con la opción "Kaspersky Antivirus Rescue Disk".

Si tiene problemas con la Desinfección del Win32.FunLove:
Compruebe que tiene el Kaspersky antivirus actualizado y ejecute la tarea del escaner con la opción de "preguntar" (ver configurar propiedades de la tarea Escaner), compruebe que no queda rastro del virus en su PC.

Si no ha eliminado correctamente el virus haga lo siguiente:

1. Ejecute esta programa klantifl.zip (está comprimida en winzip), reinicie la máquina y realice un escaneo completo con la opción de preguntar que hacer, intentando desinfectar los archivos que encuentre y eliminandolos en caso de ser imposible su desinfección.

2. Para quitar este programa (klantifl.exe) de memoria, una vez esta la máquina limpia, realice la siguiente operacion:

-      inicio>ejecutar: flcss.exe /u