Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/Buchon.A. Gusano y troyano que se envía por email
 
VSantivirus No. 1569 Año 8, sábado 23 de octubre de 2004

W32/Buchon.A. Gusano y troyano que se envía por email
http://www.vsantivirus.com/buchon-a.htm

Nombre: W32/Buchon.A
Nombre Nod32: Win32/Buchon.A
Tipo: Gusano de Internet y Caballo de Troya
Alias: Buchon, Baba, I-Worm.Baba.a, I-Worm.Baba.b, I-Worm.NetSky.b, I-Worm/Netsky.AF, Netsky.AE, Netsky.AF, Netsky.AG, Netsky.AH, Netsky.AI, W32.Netsky.AD@mm, W32.Netsky.AE@mm, W32/Baba.A, W32/Baba.B, W32/Baba-A, W32/Buchon.A, W32/Buchon.B, W32/Buchon.gen@MM, W32/Buchon@mm, W32/Netsky.AG, W32/NetSky.AG@mm, W32/Netsky.AH.worm, W32/NetSky.AH@mm, W32/Netsky.ah@MM, W32/Netsky.AI.worm, W32/Netsky.ai@MM, W32/Netsky.AI@mm, W32/Netsky.AJ@mm, W32/Netsky-AE, Win32.Netsky.AE, Win32.Netsky.AE!ZIP, Win32.Netsky.AG, Win32/Baba.B, Win32/Buchon.A, Win32/Buchon.B, Win32/Netsky.AE.Worm, WORM_NETSKY.AF, WORM_NETSKY.AH, WORM_NETSKY.AI
Fecha: 21/oct/04
Plataforma: Windows 32-bit
Tamaño: 30,752 bytes (UPX)

Este gusano, programado en Visual C++ 6.0, fue reportado el 21 de octubre, como una variante del Netsky. Sin embargo, un examen más profundo revela que posee otras características, y solo algunas similitudes con el código de ese gusano, lo que ha hecho que muchos fabricantes le cambiaran el nombre.

No modifica el registro para autoejecutarse en próximos reinicios (pero si crea una entrada para el troyano "keylogger" que instala).

Utiliza un solo mensaje para propagarse y no se propaga por recursos compartidos en redes.

Solo funciona hasta el 25 de octubre de 2004 (luego de esa fecha, libera el troyano keylogger, pero no se envía por correo electrónico).

Existen al menos dos variantes creadas el mismo día, con pequeñas diferencias entre ellas (la segunda variante primero comprueba la fecha del sistema). Ambas poseen algunos errores en su código que hace que no se ejecuten correctamente en algunos sistemas.

Cuando se ejecuta, el gusano espera 10 minutos para intentar enviarse a si mismo a direcciones encontradas en archivos del sistema infectado.

El gusano utiliza para propagarse el siguiente mensaje:

Para: [destinatario]
De: [destinatario]
Asunto: Mail Delivery failure - [destinatario]

Texto del mensaje:

If the message will not displayed automatically,
you can check original in attached message.txt

Failed message also saved at:
www. [dominio] .com/inbox/security/read.asp?sessionid-?????
(check attached instructions)

+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

Datos adjuntos:

message txt         length ????? bytes        mcafee.com

En todos los casos, "?????" son números al azar (note que el nombre del adjunto es todo lo que está en la misma línea, y con una extensión .COM).

Cuando el adjunto es ejecutado en forma manual (al ser recibido), el gusano libera el troyano con características de keylogger, y lo copia con el siguiente nombre:

c:\csrss.exe

Cuando se ejecuta, se crea también el siguiente archivo:

c:\csrss.bin

CSRSS.EXE es un caballo de Troya que posee características de keylogger (un programa que monitorea constantemente la salida del teclado, para capturar todo lo ingresado a través de él). Para ejecutarlo en cada reinicio, el gusano crea la siguiente entrada en el registro (si la misma ya no existe por alguna ejecución anterior):

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Key Logger = "c:\csrss.exe"

El archivo CSRSS.BIN almacena lo capturado desde el teclado.

El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en la unidad de disco C, que tengan menos de 10 megas:

.dat
.dbx
.eml
.mbx
.mdb
.tbb
.wab

También busca direcciones en archivos cuyos nombres contienen la siguiente cadena:

inbox

Para enviarse, utiliza su propio motor SMTP. Busca el servidor SMTP de la dirección utilizada, o utiliza uno de los siguientes servidores:

128.214.46.64
216.234.246.150

El troyano CSRSS.EXE contiene una rutina capaz de enviar paquetes SYN a direcciones IP tomadas al azar de una lista de 209 direcciones localizadas en su código. Utiliza puertos TCP al azar seleccionados entre el 28000 y el 28500.

También intenta enviar el archivo con datos (CSRSS.BIN), a algunas de esas direcciones.

Al conectarse, puede descargar y ejecutar otro archivo, el cuál es copiado en la carpeta de Windows. Cuando ello ocurre, la entrada en el registro creada antes ("Key Logger"), es borrada.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

0x452A561C

También puede crearse el siguiente mutex:

BABA_FEDCBA9876543210_BABA

El gusano contiene las siguientes cadenas ocultas en su código, lo que podría indicar que su origen es Corea del Sur:

SoonChunHyang
Bucheon


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\csrss.bin
c:\csrss.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Key Logger

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

22/10/04 - 01:52 -0200 (Alias: W32/Netsky-AE)
22/10/04 - 01:52 -0200 (Alias: W32/Netsky.ai@MM)
22/10/04 - 01:55 -0200 (Modificación en descripción)
22/10/04 - 20:45 -0200 (Se cambia el nombre a W32/Baba.B)
22/10/04 - 20:45 -0200 (Ampliación de la descripción)
23/10/04 - 00:45 -0200 (Se cambia el nombre a W32/Buchon.A)
23/10/04 - 00:45 -0200 (Se agrega W32/Buchon.B)
23/10/04 - 00:45 -0200 (Se agregan nuevos alias)



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS