Virus Evaman C. Roba direcciones de Yahoo. Herramienta desinfección

De: [nombre]+[dominio]

Donde [nombre] puede ser uno de los siguientes:

barbara
daniel
david
eric
jason
jennifer
jessica
joe
john
karen
kevin
linda
mary
mike
nancy
pamela
patricia
robert
sarah
susan

Y [dominio] es el mismo del destinatario que recibe el mensaje. Por ejemplo, si el destinatario es pepe@micorreo.com, el remitente podría ser alguno de los siguientes:

barbara@micorreo.com
jason@micorreo.com
linda@micorreo.com
robert@micorreo.com, etc…

Asunto: [Alguno de los siguientes]

Delivery Status (Secure)
failed transaction
Re: Extended Mail
Re: hello (Secure-Mail)
Re: Server Reply
Secure delivery
SN: New secure mail
SN: Server Status

Texto del mensaje: [Alguno de los siguientes]

as a secure compiled attachment (Zip).
Automatically Secure Delivery: for [e-mail]
Automatically server notice:,
due to a new security policy.
Due to new policies on clients.
Extended secure mail message available at: [dominio]
For security measures this message has been
packed as Zip format.

from [dominio]
from Administration at [dominio]
Mail Delivery Server System: for [e-mail]
Message available as a secure Zip file.
New feature added for security reasons
New mail secure method implement: for [e-mail]
New policy recommends to enclose all
messages as Zip format.

New policy requested by mail server to returned mail
New service policy for security added from [dominio]
Now a new message is available as
secure Zip file format.

Secure Mail Server Notification: for [e-mail]
Server Notice: New security feature
added. MSG:ID: 455sec86

Server reply from [dominio]
This is a newly added security feature.
This message is an automatically server notice
This message is available as a secure
Zip file format

You have received a message that implements
secure delivery technology.

Your message is available in this server notice.

Datos adjuntos: [nombre]+[extensión]

Donde [nombre] es una de las siguientes cadenas:

attachment
document
file
mail
message
readme
text
transcript

Y [extensión] es una de las siguientes:

attachment
document
file
mail
message
readme
text
transcript

Se copia en la carpeta del sistema de Windows y en la carpeta TEMP:

c:windowssystem32winlibs.exe
C:windows empwinlibs.exe

De acuerdo a la versión de sistema operativo, las carpetas “c:windows” y “c:windowssystem32” pueden variar (“c:winnt”, “c:winntsystem32”, “c:windowssystem”).

La ubicación de la carpeta “TEMP” puede ser:

En Windows 9x/ME:

c:windowsTEMP

En Windows NT, XP, 2000 y Server 2003:

c:documents and settings[usuario]local settingsTEMP

Se propaga utilizando su propio motor SMTP.

Para obtener direcciones de correo, el gusano utiliza las siguientes cadenas para enviar consultas a “email.people.yahoo.com”, intentando obtener las direcciones de todos los usuarios cuyo primer nombre coincida con las mismas:

Aaron
Alberto
Alecia
Alexis
Alice
Allen
Allison
Amanda
Anderson
Andrea
Andrew
Angel
Angela
Anthony
Arnold
Ashlee
Bailey
Baker
Barbara
Barber
Barker
Barnes
Barton
Bennett
Berry
Black
Blair
Blais
Bradley
Brian
Bridget
Britney
Brooks
Brown
Bruce
Burgess
Camilo
Campbell
Carlos
Carol
Carson
Carter
Catherine
Cecily
Clapp
Clark
Claudia
Cline
Clinton
Coleman
Colon
Collins
Cooper
Cortez
Craig
Cummings
Cynthia
Chang
Chapman
Charles
Christ
Christian
Christina
Christopher
Daniel
Danny
Daren
David
Davis
Debra
Deleon
Demer
Dennis
Devon
Diane
Dorcas
Dorothy
Douglas
Dulce
Duncan
Duran
Edith
Edward
Elizabeth
Elliott
Ellis
Emily
Emmet
Erica
Esteban
Estrada
Faith
Fields
Flores
Frances
Francis
Frank
Freeman
Fuller
Gabriel
Galvin
Garcia
Gates
George
Gibson
Gillian
Glenn
Gomez
Gonzalez
Grace
Grant
Green
Griffin
Hamilton
Hannah
Harrell
Harrison
Hayes
Heather
Helen
Henry
Hernandez
Hester
Hines
Holly
Houston
Howard
Hunter
Irish
Isabel
Ivette
Ivory
Jackson
Jacob
Jacobs
James
Jamie
Jamil
Janet
Jason
Jeffrey
Jenkins
Jennifer
Jessica
Jesus
Joanna
Johnson
Jolley
Jones
Joshua
Judith
Julia
Julie
Julio
Junior
Karen
Karrie
Keith
Kelley
Kelly
Kevin
Kimberly
Klein
Knight
Lambert
Laster
Laura
Lawrence
Leonard
Lewis
Lincoln
Linda
Lopez
Lucas
Mabel
Madison
Marcos
Margaret
Margery
Marie
Mario
Martha
Martin
Mathew
Mcdonald
Medina
Melissa
Mendoza
Meyers
Michael
Miguel
Miles
Miller
Mitchell
Monique
Moore
Moran
Morris
Morton
Murphy
Nancy
Navarro
Nelson
Newman
Nicole
Nicholas
Norris
Olsen
Olson
Ortega
Pamela
Parker
Parks
Parson
Patel
Patricia
Patrick
Patton
Pedro
Perez
Peter
Petersen
Philip
Pierce
Pitts
Price
Ramirez
Ramon
Randi
Randy
Rebeca
Reyes
Robby
Roberts
Robin
Robinson
Rogers
Roney
Rowland
Salomon
Samantha
Samuel
Sanchez
Sanders
Sandra
Santiago
Santos
Sarah
Scott
Sharp
Shawn
Shirley
Simon
Simpson
Smith
Sparks
Spider
Stanley
Stephanie
Steven
Stone
Summers
Susan
Susanna
Taylor
Thomas
Timothy
Torres
Turner
Ursula
Valdez
Vannessa
Virginia
Wagner
Walker
Walter
Washington
Waters
Watkins
Watson
Watts
Weaver
Wells
White
Wilson
Williams
Woodard
Wynne
Yates
Young
Zhang

También obtiene direcciones de archivos de la máquina infectada con las siguientes extensiones:

.adb
.asp
.cfg
.dbx
.dhtm
.eml
.htm
.html
.js
.jse
.jsp
.mmf
.msg
.ods
.php
.pl
.sht
.shtm
.shtml
.tbb
.txt
.wab
.xml

Finalmente se envía a todas las direcciones obtenidas, utilizando una dirección falsa en el campo “De:”. Los mensajes enviados poseen las características ya descriptas.

Evita enviarse a direcciones de correo que contengan alguna de las siguientes cadenas en sus nombres:

.edu
.gov
.mil
@MM
@mm
32.
ample
arsoft
ating
avp
Bug
bug
buse
cafee
ccoun
cribe
CRIBE
dmin
ebmast
ecur
eport
eturn
gmail
help
ibm
ICROSOFT
icrosoft
inpris
inrar
inux
inzip
irus
ists
list
msdn
msn
nfo
ntivi
omain
omment
ompu
oogle
oot
opho
orton
otmail
panda
pdate
persk
rend
ruslis
Sale
sale
sarc
senet
soft
spam
Spam
SPAM
ugs
umit
upport
user
USER
ware
win
ymant
YOU
you

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

NorthernLightMixed

Modifica o crea las siguientes entradas en el registro:

HKCUSoftwareMicrosoftWindows
CurrentVersionExplorerwinlibs

HKLMSOFTWAREMicrosoftWindows
CurrentVersionExplorerwinlibs

Para ejecutarse en cada inicio del sistema crea la siguiente entrada en el registro:

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
winlibs.exe = c:windowssystem32winlibs.exe

Cuando se ejecuta por primera, abre el Bloc de notas (notepad.exe).

Funciona solo en Windows 2000 y XP ya que requiere la librería PSAPI.DLL presente en estos sistemas.

HERRAMIENTA DESINFECCION EVAMAN C

Puedes descargarla de aqui: http://www.nod32.it/cgi-bin/mapdl.pl?tool=Evaman

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauración automática en Windows XP/ME.

2. Pulse CTRL+ALT+SUPR y detenga la tarea “winlibs.exe”

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna “Nombre”, la entrada “winlibs.exe”, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

5. Borre la carpeta “winlibs” en las siguientes claves:

HKCUSoftwareMicrosoftWindows
CurrentVersionExplorerwinlibs

HKLMSOFTWAREMicrosoftWindows
CurrentVersionExplorerwinlibs

6. Cierre el editor del registro.

7. Borre el contenido de la carpeta /temp.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Más información en vsantivirus y enciclopediavirus.com

Deja un comentario