W32/Evomo o como hackear a hotmail

Fecha de Inicio: 02/07/2003
Ultima Modificación: 

Si estas recibiendo mails (257 Kb) que te llenan tu limite de almacenamiento este es el problema. A mi me sucedió en mi correo de Hotmail.
Hasta que Hotmail no actualice su antivirus lo vamos a seguir recibiendo, lo que hice para dejar de recibirlo fue crear un filtro con las palabras del asunto del mensaje y lo elimina directamente.
Pero como yo lo descargue y luego lo ejecute.... se me puso problemática la PC, así que busque en la red alguna solución y en la pagina http://virusattack.virusattack.com.ar encontré una muy buena solución que la lleve a cabo y funciono, así que por eso he copiado de su sitio la solución a este virus o gusano o como sea:  

Información:  Gusano capaz de reproducirse por correo electrónico, que muestra imágenes de un líder político boliviano.

Este gusano es capaz de reproducirse por correo electrónico en dos posibles mensajes, cuyo remitente es el usuario infectado.

Asunto: Al fin se puede hackear a hotmail!!
Archivo Adjunto: hotmailpass.exe

Asunto: El adelanto de matrix ta gueno
Cuerpo:

Oye te ? paso el programa para entrar a cuentas del messenger
Z y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?
u Respondeme que tal te parecio. chau

Archivo Adjunto: hotmailpass.exe

Estos mensajes son enviados a todos los contactos del MSN Messenger del usuario infectado. Las faltas de ortografía en el mensaje se deben a que así están redactados en el código del gusano.

Si el archivo adjunto al mensaje es ejecutado, el gusano comienza su rutina de infección del equipo y reproducción. En primer lugar, crea varias copias de si mismo en la carpeta de Windows:

All Users.exe
command.exe
Hot Girl.scr
hotmailpass.exe
Inf.exe
Internet download .exe
Internet File.exe
system.exe
Part Hard Disk.exe
Shell.exe
System32.exe
System64.pif
Temp.exe

Y en la carpeta de Sistema (normalmente Windows\System o Winnt\System32, dependiendo del sistema operativo), genera otras copias con los siguientes nombres:

command.com
Inf.exe
net.com
www.microsoft.com

También crea una copia en la Papelera de Reciclaje bajo el nombre de Evo Morales.scr. Evo Morales es un líder político boliviano del cual muestra algunas imágenes.

Además, intenta generar otra copia en la carpeta de Inicio del sistema, lo cual falla porque el nombre de ésta es incorrecto.

Realiza varias modificaciones en el registro del sistema para poder ejecutarse con el arranque del equipo, además de para ejecutarse cada vez que archivos de extensiones ejecutables son abiertos. Además, modifica los archivos WIN.INI, SYSTEM.INI, DOSSTART.BAT, WININIT.INI y WINSTART.BAT.

Para ejecutarse con cada inicio del sistema, las claves modificadas son las siguientes:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System = {alguno de los archivos creados por el gusano}

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System = {alguno de los archivos creados por el gusano}

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
System = {alguno de los archivos creados por el gusano}

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
System = {alguno de los archivos creados por el gusano}

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
System = {alguno de los archivos creados por el gusano}

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
System = {alguno de los archivos creados por el gusano}

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
System = {alguno de los archivos creados por el gusano}

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
System = {alguno de los archivos creados por el gusano}

Otras modificaciones al registro, para poder ejecutarse con cada archivo ejecutable, son:

HKLM\software\Classes\batfile\shell\open\command
(Predeterminado) = {alguno de los archivos creados por el gusano} "%1" %*

HKLM\software\Classes\comfile\shell\open\command
(Predeterminado) = {alguno de los archivos creados por el gusano} "%1" %*

HKLM\software\Classes\exefile\shell\open\command
(Predeterminado) = {alguno de los archivos creados por el gusano} "%1" %*

HKLM\software\Classes\htafile\shell\open\command
(Predeterminado) = {alguno de los archivos creados por el gusano} "%1" %*

HKLM\software\Classes\piffile\shell\open\command
(Predeterminado) = {alguno de los archivos creados por el gusano} "%1" %*

Además, modifica el registro para que no se muestren las extensiones de los archivos .EXE, agregando la siguiente entrada en la siguiente clave:

HKLM\software\Classes\exefile
NeverShowExt = ""

En el archivo DOSSTART.BAT incluye una línea para que se ejecute el archivo Shell.exe, que contiene una copia del gusano:

c:\windows\Shell.exe

En el SYSTEM.INI, modifica la línea de ejecución del explorer.exe para que también ejecute otra copia del gusano llamada temp.exe:

[boot]
shell = explorer.exe temp.exe

Luego, en el archivo WIN.INI genera unas líneas que intentan ejecutar un fichero de nombre archivo.exe, que al no existir, no realizan ninguna acción:

[windows]
load = c:\windows\archivo.exe
run = c:\windows\archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!!
mentira colla maldito!! (PYN [email protected])####

El archivo WININIT.INI también es modificado por el gusano para intentar eliminar un archivo:

null=c:\windows\system.exe

Y, por último, el archivo WINSTART.BAT, es modificado, al igual que el DOSSTART.BAT.

Por errores en su forma de controlar si ya modificó los archivos de sistema, puede suceder que los cambios que describimos los realice en más de una ocasión.

El gusano está desarrollado en Delphi, y está comprimido con la utilidad ASPACK.

El gusano hace varias modificaciones al sistema por lo que su eliminación manual es engorrosa. Para comenzar, le recomendamos descargar el archivo hkcrpe.reg, el cual restaurará a su forma original algunas de las claves de registro modificadas por el gusano.

Luego de ejecutar el archivo descargado y antes de comenzar con las instrucciones de eliminación manual, reinicie el equipo.

1) Vaya a Inicio, Ejecutar..., escriba REGEDIT.EXE y pulse Aceptar. Esta operación abrirá el Editor del Registro.
 
2) Navegue hasta las siguientes claves:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Y elimine la entrada System que habrá en ellas y que hace referencia a alguno de los archivos creados por el gusano.

3) Elimine la entrada NeverShowExt de la siguiente clave del registro:

HKLM\software\Classes\exefile

4) Elimine los archivos DOSSTART.BAT, WININIT.INI y WINSTART.BAT de la carpeta de Windows.
5) Abra el archivo SYSTEM.INI con el Bloc de Notas, o yendo a Inicio, Ejecutar..., escribiendo SYSTEM.INI y pulsando luego Aceptar.
 
6) En la ventana del Bloc de Notas que se abrirá, busque el siguiente texto:

shell = explorer.exe temp.exe

y reemplácelo por:

shell = explorer.exe
 
7) Abra el archivo WIN.INI con el Bloc de Notas, o yendo a Inicio, Ejecutar..., escribiendo WIN.INI y pulsando luego Aceptar.

8) En la ventana del Bloc de Notas que se abrirá, elimine las siguientes líneas:

load = c:\windows\archivo.exe
run = c:\windows\archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!!
mentira colla maldito!! (PYN [email protected])####

9) Vuelva a ejecutar el archivo hkcrpe.reg ejecutado al comienzo de estas instrucciones, y reinicie su equipo.

10) Abra el Explorador de Windows, vaya a Herramientas, Opciones de Carpeta, y en la ventana que se abrirá, seleccione la ficha Tipos de Archivos. Allí, busque la extensión .HTA, y pulse Cambiar.

11) En la siguiente ventana, elija Otros, y busque en su carpeta System o System32 el archivo MSHTA.EXE. Selecciónelo, pulse Aceptar, Aplicar y luego Cerrar.

12) Reinicie su equipo y ejecute un antivirus actualizado para eliminar todo rastro del gusano.