Zayle, el gusano enamorado
Junio 26, 2007 3:21 pmEn los últimos meses se han reportado varios casos de malware que aprovechan los dispositivos USB para diseminar e infectar con su código malicioso.
Uno de ellos es el detectado por ESET NOD32 bajo el nombre de Win32/AutoRun.C, un gusano de Internet creado con el lenguaje de programación Microsoft Visual Basic 6.0 con capacidad de infectar dispositivos USB propagándose a través de los mismos.
Para lograrlo, copia en la raíz de estos dispositivos y de los discos locales, los siguientes archivos: “crsvc.exe” con un peso de 48 Kb y “autorun.inf” de 10 Kb en forma oculta y levanta en el sistema un proceso llamado “crsvc”.
Desde ese momento, cada unidad de almacenamiento extraíble que se inserte en los puertos USB de la computadora comprometida será infectada con una copia del gusano.
Como es común en los distintos tipos de malware, intenta asegurar que su proceso se levante en cada inicio del sistema, para lo cual manipula la clave “run” del registro apuntándola al archivo copiado en la raíz del disco X:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\
Syslog C:\crsvc.exe
Al momento de copiarse a los dispositivos, el malware verifica la existencia de los procesos “KofcpfwSvcs.exe” y “OfcpfwSvcs.exe” pertenecientes al troyano Win32/PcClient.WJ, si existen los termina, de igual manera que termina el proceso “explorer.exe” del explorador de Window. Inmediatamente después, vuelve a levantar el proceso “explorer.exe” para infectar el dispositivo insertado.
Además, deshabilita la opción de abrir las unidades con doble clic, tanto en las locales como en las extraíbles y en el submenú del botón derecho del Mouse crea una opción llamada “ZAYLE” cuyo efecto al ingresar a él, es equivalente a hacer doble clic directamente sobre el ejecutable del malware.
En el código del gusano se pueden leer las leyendas “Zarteck” y “LETZEL TE AMO” y hasta el nombre de la carpeta de trabajo del programador del código: \Projectos\Virus auto\3.0\Virus.vbp. Y el archivo “autorun.inf” contiene las siguientes imágenes en código ASCII.
Si bien este malware no posee algún componente innovador en su código, ya que para lograr su objetivo recurre a técnicas comunes utilizadas por la mayoría de los códigos maliciosos, no deja de ser una amenaza para los dispositivos USB que se están convirtiendo en un estádandar a la hora de transportar información.
Jorge
Promedio: 5
20-10-2008 a las 10:18 am
Hola Raúl.
Interpreto que ESET NOD32 detecta la amenaza pero no la elimina ¿es así? De todas formas te recomiendo que obtengas un archivo de registro generado con ESET SysInspector y nos lo envíes a blogs @ eset-la.com
Si necesitas ayuda sobre cómo utilizar ESET SysInspector, te recomiendo la lectura de los siguientes post:
http://blogs.eset-la.com/laboratorio/2008/01/16/eset-sysinspector/
http://blogs.eset-la.com/laboratorio/2008/01/28/eset-sysinspector-generar-reportes-bajo-linea-comando/
Saludos.
17-10-2008 a las 11:19 pm
hola.
mi problema es parecido al del zayle, solo que en esta ocacion, se crea una carpeta en los discos duros llamada “imagenes”, la elimino y en segundos reaparece, y, siempre que aparece, el floppy hace un ruidito como si intentara leer un diskette, lo peor de todo, es que cuando ingreso las USB, se copia automaticamente.
Tengo Nod-32, pero no lo elimina, detecta el archivo “crsvc.exe”, pero nada de nada, ahi sigue, ya lleva como un mes así.
¿Que puedo hacer?, gracias por todo.
24-9-2008 a las 2:22 pm
Hol, pasaba vi luz y subi ja..Sabes tengo esa porqueria del Win32/Autorun.if no se cuanto y el RECICLER los cuales me infectan mis dispositivos USB tanto el Pen como la micro SD del cel.
Ahora me lo detecta el NOD32..(Bendito seasss)..Pero no ecuentro la raiz de todo esto como lo piyo y lo elimino de una vez y para siempre, porque la verdad que me aburrio desinfectarlo.
Es conveniente instalar un antivirus en el dispostivo USB?
Bueno solo espero que me puedas ayudar y sino gracias por el tiempo prestado.
18-9-2008 a las 6:41 pm
Hola Luis E.
Por favor puedes describir mejor el problema o el error que visualizas. Gracias.
Cristian
18-9-2008 a las 2:04 pm
Mi NOD-32 reconoce el malware pero al darle desinfectar dice que ocurre un error y no lo puede eliminar, anticipadamente gracias por toda la ayuda que dan.
Luis E.
17-9-2008 a las 9:22 pm
Hoal Car534:
La detección de “probablemente desconocido NewHeur_PE” no es la detección de un malware específico sino la detección heurística y una de las principales ventajas de ESET NOD32, capaz de detectar virus desconocidos hasta ese momento.
Lamentablemente desmarcar esta opción y desinstalar el antivirus no es la mejor opción y puede ser el motivo por el cual ahora tienes un malware en memoria ya que estuviste cierto tiempo sin la mejor protección heurística de ESET.
Cristian
16-9-2008 a las 8:16 pm
tuve un inconveniente con un cafe internet en el cual tenian un tarificador llamado twin de ofitools.com pues despues de actualizar el NOD32 y escanear la maquina me aparecio un mensaje que habia una posible variante de NewHeur-PE, al eliminarlo el programa perdio archivos importantes, llame al tecnico y me dijo que le desactivara las opciones heuristicas al antivirus y que lo reintalara, asi lo hice y al realizar nuevamente el escaneo me aparece que esta en la memoria operativa, me gustaria saber si es en realidad una variante de NewHeur-PE y si corren peligro los dispositivos extraibles que pueden utilizar en el cafe internet los clientes y tambien mi informacion.
gracias,
caro
19-8-2008 a las 10:30 am
Estimada Fernanda,
en principio, si el antivirus detecta la amenaza por heurística quedate tranquila que se encuentra controlada y seguramente lo elimina.
Ahora, si el archivo es detectado cada vez que reinicias el equipo, lo más probable es que tengas que deshabilitar la opción de restauración del sistema haciendo clic derecho sobre el icono de “Mi PC”, elegir propiedades y seleccionar la solapa “Restaurar sistema”, en ella encontraras la opción “Desactivar restaurar sistema en todas las unidades”. Debes tildarla.
En caso de que no utilices ESET NOD32, te invito a que lo pruebes descargando una versión de evalución de ESET NOD32, o realices una exploración en línea con ESET Online Scanner.
Saludos.-
19-8-2008 a las 12:32 am
yo tengo el antivirus NOD32 y me aparece q tengo un probable virus newheur en los archivos de : System volume information, necesito que me digan como puedo eliminar ese virus por favor,, porque el acceso a esos archivos se que es imposible. yo quiero saber si se puede eliminar de alguna forma.. muchas graciass..
14-8-2008 a las 8:25 pm
[...] llega a hacerse molesto [ bsatante, si te acostumbras a tenerlo ] si quereis informacion del virus aqui [...]
6-7-2008 a las 12:10 am
Hola Alan, en primer lugar te cuento que todos los archivos que son detectados como maliciosos por ESET NOD32 son enviados a cuarentena, la ventaja de esto es que si por algún motivo desearas recuperar alguno de esos archivos lo podrías hacer fácilmente.
Por otro lado, para evitar que ESET NOD32 vuelva a alertarte sobre el gusano, deberías deshabilitar la opción de “Restaurar sistema”.
Cualquier cosa contanos como te fue.
Saludos.-
27-5-2008 a las 11:47 am
Mi computadora tiene este virus, Eset Nod32 lo detecta pero sólo lo pone en cuarentena; cuando lo elimino vuelve a salir en poco tiempo; haya un mensaje constante en la barra de tareas, no lo he podido eliminar aun cuando baje su version de prueba de nod32
2-4-2008 a las 10:22 am
Hola Jose Luis:
No, no es posible que el celular se infecte con ese malware. En cambio sí es posible que se infecte la memoria del mismo debido a que sus características son las mismas que cualquier otra memoria, como la del USB por ejemplo.
Con respecto a la desinfección, la misma se realiza eliminando los archivos mencionados debido que al ser un troyano y no infectar ni modificar otros archivos, con eliminar la amenaza es suficiente.
Cristian
2-4-2008 a las 1:52 am
hola ¿Es posible que un celular se infecte con este malware?
realice un escaneo a la memoria y aparecio esto:
K:\infrom.exe – probably unknown NewHeur-PE Virus
K:\h.cmd – win32/PSW.OnLineGames.NLI Trojan
K:\ms.config\ldup.exe – Win32/Shipup.NAB trojan
K:\MSOCache\doWTP_RESTORE.exe – Win32/PSW.Delf. WB trojan
K:\RECYCLER\RECYCLER\autorun.exe – Win32/PcClient.WJ trojan
no veo la opcion de desinfectar ¿Como puedo limpiar la memoria del cel y la tarjeta de memoria?
13-1-2008 a las 4:43 pm
Comento que vi las imagenes de codigo acii desde el codigo original y es sorprendente.
17-12-2007 a las 3:32 pm
Hola Isaac, gracias por tu consulta
Te comento que Zayle efectivamente es detectado y eliminado por ESET NOD32 sin problemas. Con respecto a tu otra consulta del USB lo que debes hacer es scanear todas tus unidades de disco (incluídos los USB) e eliminar el programa dañinos de todas las unidades.
Con esto evitaras posteriores infecciones.
Cristian
16-12-2007 a las 1:26 pm
hola leí el artículo gracias por la información, desafortunadamente para mi tengo el gusano zayle que esta en mi maquinita y no he podido quitarlo creo que no existe algún antivirus que lo elimine ¿cierto? bien tengo mas dudas cómo, si no hay algún antivirus entonces una vez que lo quite y vuelva a meter mi memoria usb estará infectada pues la estuve usando mientras tenía este virus como limpio mi memoria además uso programas donde de igual manera utilizo un candado de ejecucion en usb como limpio todo esto, ojalá me puedan ayudar, muchas gracias.