Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Categoría: 2 (bajo riesgo)
Tipo: Gusano
Sistemas afectados: Windows 95, 98, Me, NT, 2000, XP, 2003 (32 bits)
Resumen: Intenta finalizar procesos pertenecientes a programas de seguridad e impide el acceso al Administrador de Tareas y el Editor del Registro. Se propaga por MSN Messenger.
Tamaño: 385024 bytes.
Fecha de descubrimiento: 13 de Junio de 2006

Método de infección:

BlackAngel.B crea los siguientes archivos:

* WAM.EXE en la subcarpeta CURSORS del directorio de Windows. Este archivo es una copia del gusano.
* AUTOR.TXT en el directorio raíz de las unidades C: y A:, que contiene la dirección de correo electrónico del autor de BlackAngel.B.
* LSTX.BAT en el directorio de sistema de Windows, que contiene la lista de procesos a finalizar.
* SYSTEMWORK.BAT y WIN_NT.BAT en el directorio de sistema de Windows.

BlackAngel.B elimina varios archivos de Windows del directorio raíz de las unidades C: y A:, como por ejemplo:

* AUTOEXEC.BAT
* CONFIG.SYS

Después, crea copias de sí mismo utilizando los nombres de los archivos que ha borrado y añadiéndoles extensión EXE.

BlackAngel.B crea las siguientes entradas en el Registro de Windows:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
axel = %windir%\cursors\wam.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, BlackAngel.B consigue ejecutarse cada vez que Windows se inicia.
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ system
disabletaskmgr = 1
Mediante esta entrada, BlackAngel.B desactiva el Administrador de Tareas.
* HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ day\ number
nday = %díainfección%
donde %díainfección% es el día en el que se ha producido la infección.
* HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ ok\ ami
virus = infectado
Crea estas entradas como marca de infección para saber si el ordenador ha sido previamente afectado por BlackAngel.B.

Método de propagación:

BlackAngel.B se propaga a través del programa de mensajería instantánea MSN Messenger. Para ello, realiza el siguiente proceso:

* El usuario recibe uno de los siguientes mensajes instantáneos, que contienen un enlace:
- jaja look a that video http://www.galeon.verti2
- mira este video http://www.galeon.verti 2 jaja
* Si se pulsa dicho enlace, se descarga el archivo FANTASMA.ZIP, que contiene a BlackAngel.B, con el icono de Windows Media Player:

Imagen de Panda

Este archivo tiene doble extensión para así engañar a los usuarios que tengan activada la opción Ocultar las extensiones de archivos para tipos de archivos reconocidos.
* Cuando es ejecutado, BlackAngel.B bloquea una ventana de MSN Messenger y evita que el usuario pueda acceder a ella.
* Desde esta ventana, envía uno de los mensajes mencionados previamente a todos los usuarios que se encuentren conectados en ese momento.

Procedimiento de resolución
---------------------------------
1. Si usamos Windows XP o ME, podemos usar la característica "Restaurar Sistema" para volver a un estado anterior a la entrada del gusano en el sistema (en caso de que tengamos puntos de restauración).

Si no podemos restaurar el sistema, antes de seguir deberíamos desactivar "Restaurar Sistema" ya que Windows podría haber hecho una copia de seguridad temporal albergando al gusano.

2. Arrancar en "Modo seguro con funciones de red" y escanear el sistema con un antivirus actualizado (instalado localmente o uno on-line).
Antivirus On-Line

La lista de ficheros que tendrán que ser eliminados (y sus procesos detenidos previamente en el Administrador de tareas) son:
- WAM.EXE
- AUTOR.TXT
- LSTX.BA
- SYSTEMWORK.BAT
- WIN_NT.BAT

3. El gusano suele eliminar los ficheros: AUTOEXEC.BAT y CONFIG.SYS, tendremos que restaurarlos si es el caso.

4. Ahora hay que eliminar ciertas cadenas del registro, para ello accedemos a Inicio >> Ejecutar: "regedit". ATENCIÓN: La edición del registro es una actividad delicada y debe hacerse con sumo cuidado y atención, recuerde realizar una copia de seguridad previamente.

Localizar y borrar estas cadenas:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
axel = %windir%\cursors\wam.exe

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ system
disabletaskmgr = 1

HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ day\ number
nday = %díainfección%

HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ ok\ ami
virus = infectado

5.. Reiniciar el sistema y comprobar si el problema persiste, de ser así, obtener un log con HijackThis y dejarlo en el foro para su análisis.

Notas importantes: Se están empezando a registrar incidencias en varios usuarios, conviene estar alerta.

- El gusano SÓLO le afectará si usted lo ejecuta y permite su paso.

Para asegurar su seguridad:
* Instale un antivirus en su ordenador.
* Mantenga el antivirus actualizado.
* Tenga activada la protección permanente de su antivirus en todo momento.
* Jamás ejecute ni descargue ningún fichero sin conocer su remitente y analizarlo antes de ponerlo en marcha.

Más información en Panda Software o Alerta-Antivirus.