Foro Oficial de PETERPAULXXX.COM

http://www.vsantivirus.com/vb-nbg.htm

Nombre: W32/VB.NBG
Nombre NOD32: Win32/VB.NBG
Tipo: Gusano de Internet
Alias: VB.NBG, Win32/VB.NBG, Trojan.Win32.VB.ry, W32/Generic.worm!p2p, W32.Nodmin@mm, WIN.SCRIPT.IRC.WORM.Virus, Worm/VB.3.X
Fecha: 22/ene/05
Plataforma: Windows 32-bit
Tamaño: variable

Gusano escrito en Visual Basic, que se propaga por correo electrónico, canales de IRC (utilizando el mIRC), y redes de intercambio de archivos entre usuarios (P2P).

Cuando se ejecuta, finaliza varios procesos relacionados con antivirus y cortafuegos, y modifica de tal modo el sistema que hace prácticamente imposible la recuperación del mismo sin una reinstalación de Windows.

Utiliza el Outlook (y Outlook Express), para enviarse a todos los contactos de la libreta de direcciones, en mensajes con las siguientes características:

De: [dirección falsa]

Asunto: [uno de los siguientes]
Check this!
Details
failure notice
Free GSM Ring Composer
Free GSM Screens
Free Handy Ringtones
Free SMS Center
Funny Stories
Green Card?
Help me!
Hi,baby
Important
Interesting
New friend
Re:
Re:Answer
Re:Details
Re:ICQ Password
Re:Question
RE:Re
Re:Windows Update
See My New Flat
Top secret
Wallpaper
Warning!!!
winxp error
Winxp problem

Texto del mensaje: [formado con combinaciones de los siguientes componentes]

10x

10x ...

but you can call me.

Can you help me

Can you help me.

Can you help me?

Check the attachment

Check the attachment.

Check this if you want a new job

For details see the attached file

For Details see the attached file.

For Fun see the attachment.. and give me your opinion

Free SMS Center - check the attached file.

Get your free ringtones

GSM Ring Composer for your Handy...

Have you seen whether you win a green card?

Hello,

Hi,

I am sure that this will help you.

I don"t have time for chatting this week,

I find this very interesting...

I have a very big problem

I have a very big problem with my OS

I have forgotton my ICQ password and i try
to check about it but it has an error on icq page.

I love you and this fun story too :)

I think you must call the police

If you fix the error, plese send me mail.

It makes fun :]]]]

It"s not only for Nokia :)

Just try

mail error 233

Please check the attached file.

Please check this error

Please read the attachment and call me.

Read my answer.

Read this funny story :))

Read this interesting news info :)

See my new friend

See my report!

See the attachment

See the Flash animation!!!

See the photos

See this - UFO top secret info

See this photo, have fun and phone me :)))!!!

Send me back your opinion

This file include your full bank information

This picture is for you.Have fun :)) {}

Try it"s a funny game :) []

We have a new flat

What"s up ?

Windows fatal error

Datos adjuntos: [uno de los siguientes]

answer.txt.exe
attachment.doc.exe
attachment.scr
check.exe
checkgcard.exe
details.htm.pif
details.php.pif
error.exe
error.txt.exe
flat.jpg.pif
fun.htm.scr
fun.php?id=8727277732323.scr
funstories.php?id=087457685bcxd?9283.scr
handy_matrix_screen.scr
hotringtones.jsp?=00d7uxnn3.pif
important.mdb.exe
news.index.htm.exe
old_password.htm?=7658754322btgisx.pif
photo.pif
photos.zip.pif
pic.pif
problem.htm.exe
problem.txt.exe
ringtones.exe
secret_att.zip.exe
smscenter.php?index!&%230000.scr
wallpaper0023.jpg.scr
warning.exe
winupdate.asp?=072344.pif

La primera vez que se ejecuta, muestra una ventana con el siguiente mensaje de error falso:

The file is either in unknow format or damaged!

Crea las siguientes copias de si mismo, en las siguientes carpetas y los siguientes nombres:

c:\documents and settings\all users
\menú inicio\programas\inicio\sservice.ila

c:\documents and settings\all users
\menu inicio\programas\inicio\lservice.exe

c:\free01.exe
c:\windows\system\bghacker$.exe
c:\windows\system\kbdbg.exe
c:\windows\system\microsoft suxx.exe
c:\windows\system\mymind.exe
c:\windows\system\open.exe
c:\windows\system\q-we are the champions.exe
c:\windows\winserv.ila

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).

Para ejecutarse en cada reinicio del sistema crea las siguientes entradas en el registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winserv = c:\windows\Winserv.ila

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Winserv = c:\windows\Winserv.ila

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System = c:\windows\Winserv.ila
LegalNoticeCaption = ":: My Message :"
LegalNoticeText = FREE THE BULGARIAN MEDICS IN LIBYA

El gusano también crea los siguientes archivos:

c:\index.htm
c:\mymesg.txt
c:\windows\sysilani.ini

Descarga del siguiente sitio de Internet otro troyano, que luego ejecuta:

http:/ /freewebs .com/tornadotm/

Intenta finalizar los procesos activos con los siguientes nombres, todos ellos relacionados con antivirus y otras aplicaciones de seguridad (cortafuegos, etc.):

ackwin32.exe
advxdwin.exe
agentsvr.exe
agentw.exe
amon9x.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
apvxdwin.exe
atro55en.exe
avengine.exe
avgserv.exe
avgserv9.exe
avguard.exe
avgw.exe
avkpop.exe
avkserv.exe
avkservice.exe
avkwctl9.exe
avp.exe
avp32.exe
avpcc.exe
avpm.exe
avsched32.exe
avxmonitornt.exe
avxquar.exe
ccproxy.exe
cmd.com
command.com
firewall.exe
flashget.exe
fp-win_trial.exe
frw.exe
fsaa.exe
fsav.exe
fsav32.exe
fsav530stbyb.exe
fsav95.exe
fsgk32.exe
fsm32.exe
hl.exe
iexplore.exe
iface.exe
jammer.exe
jedi.exe
kaiowas.exe
kavpf.exe
kerio-pf-213-en-win.exe
killprocesssetup161.exe
ldnetmon.exe
ldpro.exe
ldpromenu.exe
ldscan.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lsetup.exe
luall.exe
luau.exe
lucomserver.exe
luinit.exe
luspt.exe
mcagent.exe
mcupdate.exe
mirc.exe
monitor.exe
moolive.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
mrflux.exe
msconfig.exe
msinfo32.exe
mssmmc32.exe
mu0311ad.exe
mwatch.exe
nav80try.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
navapw32.exe
navdx.exe
navlu32.exe
navstub.exe
navw32.exe
navwnt.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
neowatchlog.exe
nero.exe
netarmor.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
normist.exe
notepad.exe
notstart.exe
npfmessenger.exe
nprotect.exe
npscheck.exe
npssvc.exe
nsched32.exe
ntrtscan.exe
ntvdm.exe
ntxconfig.exe
nui.exe
nupgrade.exe
nupgrade.exe
nvarch16.exe
nvc95.exe
nvsvc32.exe
nwinst4.exe
nwservice.exe
nwtool16.exe
ostronet.exe
outpost.exe
outpostinstall.exe
panda.exe
pavproxy.exe
pavsrv50.exe
pccwin97.exe
pccwin98.exe
pcdsetup.exe
pcfwallicon.exe
pcip10117_0.exe
pcscan.exe
pdsetup.exe
periscope.exe
persfw.exe
perswf.exe
pf2.exe
pfwadmin.exe
pingscan.exe
platin.exe
pop3trap.exe
poproxy.exe
popscan.exe
portdetective.exe
portmonitor.exe
ppinupdt.exe
ppvstop.exe
protectx.exe
pspf.exe
purge.exe
qconsole.exe
qserver.exe
rapapp.exe
rav7.exe
sweepsrv.sys
swnetsup.exe
symproxysvc.exe
symtray.exe
sysedit.exe
taskmon.exe
taumon.exe
tc.exe
tds-3.exe
tfak.exe
tfak5.exe
titanin.exe
toolkit.exe
winamp.exe
word.exe
zatutor.exe
zonalm2601.exe
zonealarm.exe

Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:

avp .com
ca .com
data .bg
download .mcafee .com
downloads -eu1 .kaspersky - labs .com
downloads -us1 .kaspersky - labs .com
downloads1 .kaspersky - labs .com
downloads2 .kaspersky -labs .com
downloads3 .kaspersky -labs .com
downloads4 .kaspersky -labs .com
f -secure .com
google .com
kaspersky -labs .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
mtel .bg
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .ru
www .avp .com
www .ca .com
www .mcafee .com
www .my -etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com

EL gusano modifica la siguiente clave en el registro de Windows, para que cada una de las asociaciones con las siguientes extensiones de archivos, no tengan ningún programa por defecto para poder abrirse:

HKEY_CLASSES_ROOT\[extensión]
(predeterminado) = ""

Donde [extensión] son todas las siguientes:

.ade
.adp
.asp
.bas
.bat
.chm
.cmd
.com
.cpl
.crt
.dll
.doc
.exe
.hlp
.hta
.ila
.isp
.js
.jse
.lnk
.mdb
.mde
.mp3
.msc
.msi
.msp
.mst
.ocx
.pcd
.pif
.pot
.ppt
.rar
.reg
.scr
.sct
.shb
.shs
.sys
.txt
.url
.vb
.vbe
.vbp
.vbs
.wsc
.wsf
.wsh
.xsl
.zip

También modifica las siguientes entradas para bajar el nivel de seguridad, evitar la ejecución del administrador de tareas y desactivar la restauración automática de Windows:

HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 1

HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
DisallowRun = regedit.exe

HKCU\Software\Microsoft
\Windows\CurrentVersion\Internet Settings\Zones\3
1803 = 3

HKCU\Software\Microsoft
\Windows\CurrentVersion\Internet Settings\Zones\3
1804 = 1

HKCU\Software\Microsoft
\Windows\CurrentVersion\Internet Settings\Zones\4
1803 = 3

HKCU\Software\Microsoft
\Windows\CurrentVersion\Internet Settings\Zones\4
1804 = 1

HKCU\Software\Microsoft\Outlook Express\5.0\Mail
Warn on Mapi Send = 0

HKCU\Software\Policies\Microsoft\Windows\System
DisableCMD = 1

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 1

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableSR = 1

El gusano busca las carpetas por defecto utilizadas por varias aplicaciones P2P, y se copia en todas ellas con los siguientes nombres:

aladin.exe
apache.exe
batman.exe
c++ compile.exe
flashget crack.exe
friends.exe
ftp hack.exe
google_hacks.exe
hacker.exe
hotmail_hack.exe
ilani.exe
kaiowas hack.exe
mail exploit.exe
mail.exe
microsoft suckers.exe
norton antivirus 2004 patch.exe
php_nuke.exe
pokemon colosseum no-cd.exe
securecrtpatch.exe
splinter cell pandora no-cd.exe
star chamber no-cd.exe
sub7 gold.exe
super mario.exe
super pang.exe
tornado_tm.exe
unreal tournament 2004 no-cd.exe
vb6 keygen.exe
web hack.exe
winamp crack 5.12.exe
winamp final 5.11.exe
winamp5 crack.exe
windows exploit.exe
windows_xp_key_gen.exe
windows2003keygen.exe
winrar.exe
winxp_hack.exe
winxpkeygen.exe
winzip.exe
yu-gi-oh cards.exe
yu-gi-oh.exe

El gusano busca en el equipo infectado, carpetas con un nombre como "www" o "php". Si las encuentra crea los siguientes archivos dentro de ellas, suplantando los existentes:

index.asp
index.htm
index.php

También busca la carpeta donde se encuentre instalada la aplicación mIRC y sobrescribe el archivo "script.ini" con las instrucciones necesarias para enviarse a si mismo a otros usuarios que compartan los mismos canales de chat. Para enviarse utiliza el siguiente nombre de archivo:

BigBrother.exe

También muestra el siguiente mensaje:

If you are BigBrother Fan :P Look this clip;)


Reparación manual

Debido a la naturaleza destructiva del gusano que no permite la ejecución de archivos ".EXE" y ".COM", evita el uso del editor del registro, desactiva la restauración automática y otra clase de modificaciones que hacen imposible su limpieza en forma manual, la única solución luego de su acción, es recuperar el sistema desde un respaldo completo, o en su defecto reinstalar Windows y todos sus programas.

Al reinstalar Windows desde un CD, seleccione la misma carpeta en la que antes estuviera instalado el sistema operativo (C:\WINDOWS, etc.), para no perder la instalación anterior (Windows 95, 98 y Me), o la opción REPARAR (Windows 2000, XP).

Si no posee un respaldo de sus archivos personales, y su computadora contiene información crítica que no desea perder, recurra a un servicio técnico especializado para realizar las tareas de recuperación.

Recuerde que si mantiene actualizado su antivirus las probabilidades de infección serán mínimas.

Luego de la reinstalación, siga estos pasos:


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Winserv = c:\windows\Winserv.ila

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Winserv = c:\windows\Winserv.ila

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

7. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas que aparezcan de esta lista:

System = c:\windows\Winserv.ila
LegalNoticeCaption = ":: My Message :"
LegalNoticeText = FREE THE BULGARIAN MEDICS IN LIBYA

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1      localhost

4. Acepte guardar los cambios al salir del bloc de notas.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

¡¡¡¡¡¡Menuda mala leche que tiene el virus!!!!!!

Tiene toda la pinta de ser el que me ha tenido los últimos días desesperado. Al final recurri a formatear, y viendo lo extenso del método de reparación creo que lo habría hecho aunque hubiese sabido hacerlo.