• Ejecutar ataques distribuidos de denegación de servicio (DD.o.S) (la computadora infectada puede ser cómplice sin saberlo del ataque a cualquier sitio de Internet)
• Descargar y ejecutar archivos
• Reiniciar, apagar, la computadora
• Actualizar el servidor del troyano desde Internet
• Matar (finalizar) el programa servidor
• Obtener información del sistema (nombre de usuario, contraseñas, etc.)
• Obtener la versión instalada de ciertas aplicaciones
• Compartir la unidad "C"
• Registrar la actividad, y enviar reportes a través del IRC.

Además de estas posibilidades, el troyano también puede finalizar la ejecución de algunos cortafuegos personales.

La información recogida como troyano, puede ser enviada a un usuario predeterminado (el atacante).

Estas capacidades como troyano backdoor, pueden comprometer seriamente la seguridad del equipo infectado y de toda la red.

Después de ejecutarse, el gusano permanece en memoria. Puede ejecutar su rutina de propagación buscando recursos compartidos en una red local.

También puede examinar si se está ejecutando con el parámetro "/delete". Esta orden permite borrar la aplicación cuyo nombre puede ser indicado después del parámetro.

En la primera ejecución, el gusano libera una copia de si mismo en el directorio System de Windows, con un nombre seleccionado al azar y con extensión .EXE.

El gusano también examina si existe un archivo FFEN.INI o MSSE.INI en la carpeta indicada. Si no existen, crea uno de los dos archivos dependiendo de la configuración del troyano.

Los archivos INI se crean vacíos, y su uso parece ser un marca de infección.

El gusano original ejecuta la copia liberada y finaliza su propio ejecución, pasándole entonces el control a la nueva versión.

Esta versión del gusano se instala a si mismo en memoria, borra el programa original y procede a ejecutar sus rutinas maliciosas.

El gusano examina la presencia del archivo LOGGING.INI en el raíz de la unidad C. Si existe, entonces procede a registrar su actividad, creando primero el directorio C:\Logs. También crea estos archivos en dicha carpeta:

Check.Log
Fetchreport.Log
Ipreport.Log
Ips.Log
Join.Log
Misc.Log
Recived.Log
Scan.Log
Servmsg.Log

Estos archivos contienen información acerca de la actividad del propio troyano en la máquina infectada, y normalmente son enviados al atacante remoto vía IRC. La información es por sesión, de modo que al reiniciarse la computadora, los datos anteriores se borran, no manteniendo un historial de toda su actividad, solo la actual.

Para autoejecutarse en cada reinicio de Windows, el gusano crea las siguientes entradas en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Diagnostic = C:\Windows\System\[nombre al azar].exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

El uso del parámetro /delete permite que se borre el archivo original y se ejecute un proceso actual, en el cuál se realiza la conexión al servidor IRC.

Para infectar otros sistemas conectados a la red local, el gusano escanea las direcciones IP y mapea los recursos encontrados a la máquina infectada asignándolos como unidad "W:".

Si esta acción se cumple satisfactoriamente, el gusano libera una copia de si mismo con los nombres de FFEN.EXE, MSSG.EXE o TSSG.EXE (dependiendo de su configuración), en la siguiente carpeta de la máquina cuyos recursos se comparten, para que se autoejecute el gusano en ellas en forma automática:

\WINDOWS\Start Menu\Programs\StartUp

Por lo tanto la propagación vía red local falla si la carpeta es diferente (WinNT, Windows en otro idioma, etc.)

El troyano intenta también conectarse con un servidor IRC (irc.dalnet.com) para recibir nuevas ordenes y/o enviar la información recolectada.

Esta información está presente en los archivos .LOG previamente mencionados.

Esta información incluye nombre actual del gusano, y la ubicación exacta de los archivos en el disco duro.

El troyano puede también conectarse a una dirección determinada en su código, para examinar si existen versiones actualizadas de si mismo, y en caso afirmativo descargarlas. Una versión actualizada puede agregar nuevas capacidades al gusano.

El gusano puede sacar de memoria a los siguientes cortafuegos personales cada vez que se ejecuta:

Password Stealing Routine
Sygate Personal Firewall
Tiny Personal Firewall
ZoneAlarm
ZoneAlarm Pro

El troyano puede robar información sensible del usuario infectado, comprometiendo su seguridad.

Este gusano está escrito en Visual C++, y su código contiene el siguiente texto:

Acebot
[AciD]

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Logging.ini
C:\Logs [la carpeta "Logs" completa]
C:\WINDOWS\Start Menu\Programs\StartUp\Ffen.exe
C:\WINDOWS\Start Menu\Programs\StartUp\Tssg.exe
C:\WINDOWS\Start Menu\Programs\StartUp\Mssg.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Microsoft Diagnostic

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com