PORTADA
CONTACTO
SUSCRIPCIÓN
ANUNCIAR
DONDE ENCONTRARNOS
STAFF

 

 
.::MAILING::.
Novarg.A

Novarg.A (Mydoom.A, Shimgapi, Shimg, Mimail.R) es una variante del virus Mimail. Se propaga por medio del correo electrónico usando su propio motor SMTP, enviándose a las direcciones de correo que encuentra en la máquina infectada. Además crea una copia de sí mismo en la red de KaZaa, con nombres atractivos para ser descargado de esta red y ejecutado.

Al activarse, Novarg crea una puerta trasera en el sistema, abriendo los puertos TCP del 3127 al 3198; posibilita de esta manera la intrusión por otra persona, y en el caso de una red doméstica o de oficina puede usar la computadora como un proxy para acceder a otras máquinas. Esta puerta trasera también puede descargar y ejecutar archivos de internet. Para crear esta puerta trasera el gusano descarga el archivo SHIMGAPI.DLL, que se activa como un proceso dependiente del Explorador de Windows.

Novarg está programado para realizar un ataque de negación de servicios contra 222.sco.com entre el 1º y el 12 de febrero de 2004. Pasada esta fecha la mayor parte de los códigos del gusano dejarán de funcionar.

El remitente siempre es falso. El asunto puede ser una cadena de caracteres creados al azar, o bien uno de los siguientes:

Delivery Notification: Delivery has failed
Error
hello
Hello
HELLO
hi
HI
Mail Delivery System
Mail Transaction Failed
Nicakhtwewby
Returned mail: User unknown
Server Report Status
test
Test
Undeliverable: Mail Delivery System
Undelivered Mail Returned to Sender

El texto del mensaje puede ser uno de los siguientes, elegido al azar:

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.d has been sent as a binary attachment.

El archivo adjunto puede presentar alguno de los siguientes nombres:

document
readme
doc
text
file
data
test
message
body

En cuanto a la extensión del archivo adjunto, puede ser sencilla o doble. De ser doble, la primera extensión será .htm, .txt o . doc. La última extensión sera una de las siguientes.

.pif
.scr
.exe
.cmd
.bat
.zip

Se mostrará también el icono del MS-DOS, a menos que la última extensión sea .exe o .scr, en cuyo caso se mostrará el icono del Bloc de Notas.

En la carpeta de archivos compartidos de la red de KaZaa se copia a sí mismo, con uno de los siguientes nombres:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Estos archivos creados por el virus pueden tener una de las siguientes extensiones:

.pif
.scr
.bat
.exe

Cuando el virus es ejecutado por primera vez abre el Bloc de Notas, con una serie de caracteres aleatorios.

Cómo combatirlo

Symantec ha desarrollado una herramienta para eliminar este virus. Puede descarcarse en la siguiente dirección:
http://www.symantec.com/avcenter/venc/data/w32.novarg.a@mm.removal.tool.html
Esta herramienta termina el proceso del virus y el del archivo de la puerta trasera, y elimina los archivos desgargados por el mismo. También corrige las entradas en el Registro de Windows introducidas por el Novarg.

Si se desea eliminar el virus manualmente se siguen las siguientes instrucciones:

Si se es usuario de la red de KaZaa es conveniente deshabilitar las carpetas compartidas, para evitar que el virus pueda ser descargado por otro usuario.

Se abre el Explorador de Windows (se puede hacer rápidamente oprimiendo al mismo tiempo la tecla de Windows y la letra E) y en la carpeta donde Windows está instalado se abre la carpeta System, en la que se buscan y se eliminan los siguientes archivos:
shimgapi.dll
taskmon.exe

Para eliminar las entradas en el Registro de Windows se abre el Editor de Registro: Se oprime el botón de Inicio, se elige Ejecutar (Run) y en la ventana de diálogo se escribe Regedit. Aceptar. (Se puede abrir rápidamente la ventana de diálogo de ejecución oprimiendo al mismo tiempo la tecla de Windows y la letra R). En la ventana de ejecución escriba Regedit y oprima Aceptar (OK).

En el Editor de Registro abra en el panel de la izquierda la siguiente ruta:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Marque la carpeta Run y en el panel de la derecha busque y elimine la siguiente entrada:
"Taskmon"="%System%\taskmon.exe"

Otra vez en el panel de la izquierda abra esta ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Marque la carpeta Run y en el panel de la derecha busque y elimine la siguiente entrada:
"Taskmon"="%System%\taskmon.exe"

Se debe hacer un cambio, según el sistema operativo, en esta ruta:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
se busca la entrada:
(Predeterminado) = c:\windows\system\shimgapi.dll

En Windows 95, 98 y ME se cambia este valor por:
(Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL

En Windows NT, 2000 y XP el valor se cambia por:
(Predeterminado) = %SystemRoot%\System32\webcheck.dll

(Nota: %System% indica la carpeta en la que está instalado el sistema de Windows; debe cambiarse de acuerdo al lugar en la que el sistema está instalado.)

Cierre el Editor de Registro y reinicie la computadora. Revise el sistema con uno o más programas de antivirus actualizados.

Siempre es necesario tener cuidado sobre los mensajes de correo que se reciben y los archivos que se descargan por medio de la red de KaZaa.

(Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales)

Los virus más difundidos

Estos son los virus más difundidos en el mundo en este momento, según datos de Panda Software:

1. Mydoom.A (Novarg.A)
2. Bugbear.B
3. Downloader.L
4. Klez.I
5. Bagle.A (Beagle)



© vol.com.ar /2000- 2003 / Todos los derechos reservados