HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RPC Patcher = [nombre del ejecutable]

Luego, envía solicitudes HTTP a un contador Web, que lleva un registro de infecciones, y descarga el parche descripto en el boletín MS03-026 del sitio de Microsoft.

El gusano crea el archivo RPC_VIRUS.TXT en el escritorio, y lo muestra al usuario abriendo el editor de texto por defecto (generalmente el bloc de notas).

El archivo contiene el siguiente texto:

!!!!!!!!! YOUR COMPUTER IS VULNERABLE TO THE RPC EXPLOIT !!!!!!!!!

THE PATCH HAS AUTOMATICALLY BEEN DOWNLOADED TO YOUR DESKTOP AND IS RUNNING NOW
PLEASE FOLLOW ITS INSTRUCTIONS

AFTER IT IS INSTALLED, RUN A VIRUS SCAN IMMEDIATELY
IT IS EVEN RECCOMMENDED TO REFORMAT YOUR SYSTEM(don't forget to patch afterwards)

The Microsoft security bulletin and patch download location is at: [dirección en www.microsoft.com].

Look for any suspicious programs running in your task manager and go to start->run and type 'msconfig'. Go to the last tab, 'Startup' and look for anything that's suspicious such as 'mscfg.exe', 'program.exe', 'svhost.exe' or something. If you find anything like this, uncheck the checkbox next to it and it will be disabled. If you see 'RPC Patcher' and 'rpcpatcher.exe' that is this program. It would be nice if you left it checked for a while so your computer could help others patch thier systems, but if you really want you can uncheck it and/or delete rpcpatcher.exe from your system folder. Doing a search at www.google.com for anything suspicous you find is also a good idea.

A virus or trojan horse exploiting this bug in Microsoft Windows NT/2000/XP/2003 could have already done anything to your computer. One way you might know you have been infected is when Windows opens an message box saying it will shut down in 60 seconds, but it may not. This program that created this message was brought to you by using the RPC vulnerability. Don't worry though, this program is totally harmless. It is named 'rpcpatch.exe' and will be in your system folder to run on startup so it can warn others that they are vulnerable and should patch. It runs a TFTP server to send this program to others to patch their systems.

This notification program will only spread to Windows 2000 or Windows XP computers, but it will run on Windows NT/2003 computers to download and run the patch for them and look for others to notify. A statistics page to see how many computers this program has patched is at www.nedstatbasic.net <exact URL removed>.

------ TELL OTHERS TO PATCH THEIR SYSTEMS AND VISIT WINDOWSUPDATE.COM OFTEN ------

Thank you.

Luego de mostrar este texto, el gusano abre un enlace al sitio original de Microsoft que contiene información sobre el parche MS03-026.

Al mismo tiempo, ejecuta el servidor TFTP (Trivial File Transfer Protocol), usado para transferirse a las computadoras de sus víctimas (como lo hace el Lovsan), a través del puerto UDP/69.

Windows 2000 y XP tienen un cliente TFTP incorporado por defecto (TFTPD.EXE). TFTP (Trivial File Transfer Protocol), es una versión simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red.

Luego el gusano realiza las siguientes acciones:

1. Genera direcciones IP al azar.

2. Intenta atacar a la computadora existente en esas direcciones IP, utilizando la vulnerabilidad en los protocolos RPC/DCOM.

3. Si el ataque es exitoso, la computadora remota se conecta a la que inició el ataque por el puerto 5732, por medio de la línea de comandos (shell).

4. Se envía un comando a la computadora remota, utilizando el TFTP para transferir el archivo del gusano y luego ejecutarlo, repitiéndose todo el ciclo de infección en dicha máquina.

El gusano puede terminar varios procesos que se muestran en la siguiente lista. Por cada proceso finalizado, el gusano despliega una ventana con un mensaje al respecto:

11SETUP.EXE
acebot
Anti_Net_Bus.exe
application.exe
arial.com
arial.exe
arialfont.exe
ariali.exe
baby-f-pic.jpg.exe
billy.exe
BinLaden.mpg.exe
Blaster.exe
BLuESpYdER.exe
bot.exe
BOT.EXE
boxen.exe
Britney_spears_SS.exe
BRITNEYSPEAR.scr
britneyspearss.exe
cc-verify-and-cracker.exe
cleaner.11.exe
cleaner14.1.exe
cleaner4.1.exe
Cleanernew.exe
Cmmgr32.com
Cnfgldr.exe
cracker.exe
DALNetCleaner.exe
Dllexe32.exe
DMSsetup-remover.exe
DropperPorn.exe
egodsirc.exe
ESPLORER.EXE
evilbot.exe
EXPL32.EXE
expl32.exe
Explored.exe
Fonts.fnt
free_bnc.exe
FreeXXXvideo_Dedector.exe
ftpsitefinder.exe
gay_teens.exe
GT Bot.a.exe
gtsetup.exe
gtupdatesetup.exe
Hello-Kitty.exe
hkcmd
HotSex.exe
Hxdef
I3Explorer.exe
Igmp.exe
internetbooster.exe
kernel33.exe
litmus
Loginui32.exe
lol.exe
main.exe
mannager98a.exe
Microsoft.exe
MIMIC.EXE
mimic.exe
modemuncaper.exe
moveis.exe
msfnt32i
mybot.exe
Netbus.exe
netsyn32.exe
netsys32.exe
newkernal982i.exe
Nohack Virus Scan2 Setup.exe
NoHack.exe
nPatch-IT.exe
ntservice.exe
nvnav32g
Ocxdll
penis32.exe
pepsi.exe
PHORNO.EXE
PhornoScript.exe
pipecmd
PipeCmdSrv.exe
Porn.exe
prox.exe
psexec
Quick-Silver-Set-Up.exe
redcodesetup.exe
s1etup.exe
Sexy.exe
Shell321.exe
something.exe
speed.exe
speedup2_3b.exe
svchost32.exe
svhost
svost.exe
swon4.exe
Sys3f2.exe
Syscfg32.exe
SYSCHECK.EXE
Syschk.exe
sysclean.exe
sysctl.exe
sysgen.exe
Sysmon16.exe
SysOps
system.exe
SYSTEM.EXE
SystemCONF98i.exe
TEEKIDS.EXE
temp.exe
tweak.exe
undelete.exe
Uninstal.exe
Unpackedcleaner4.1.exe
Virus-Cleaner.exe
Warez_SearchV6.exe
WHVLXD.EXE
win32.exe
WinBooster.exe
windows.pif
windows33.exe
windowsupdater.exe
winini32.exe
winipcnfg.exe
winsys.com
winupdate.exe
wserver.exe
wSys.exe
wSys32.exe
WSYSTEM.EXE
x1.exe
xxvideo.exe
ZDFJEW.EXE

Recomendaciones:

Instalar parches descriptos en el siguiente artículo:

MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm


Filtrar con un cortafuegos los siguientes puertos:

udp/135
udp/137
udp/138
tcp/135
tcp/445
tcp/593
tcp/69
udp/69
tcp/5732

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Reparación manual

Para borrar manualmente el virus, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

RPC Patcher

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Vulnerabilidad en RPC (Remote Procedure Call)

Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.

Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).

Descargue y ejecute el parche correspondiente desde el siguiente enlace:

MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm


IMPORTANTE

Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

También instale los parches ya mencionados.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano.


Activar cortafuegos de Windows XP (Internet Conexión Firewall)

NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa.

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.

2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com