Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/Buchon.C. Gusano y troyano que se envía por email
 
VSantivirus No. 1652 Año 9, viernes 14 de enero de 2005

W32/Buchon.C. Gusano y troyano que se envía por email
http://www.vsantivirus.com/buchon-c.htm

Nombre: W32/Buchon.C
Nombre NOD32: Win32/Buchon.C
Tipo: Gusano de Internet y Caballo de Troya
Alias: Buchon.C, I-Worm.Buchon.b, W32/Buchon.c!keylog, W32/Buchon.c@MM, W32/Buchon.gen@MM, Win32/Buchon.B, Win32/Buchon.B@mm, WORM_BUCHON.C, W32/Baba-B, Email-Worm.Win32.Buchon.c, Worm.SomeFool.AJ-unp
Fecha: 12/ene/05
Plataforma: Windows 32-bit
Tamaño: 37,408 o 36,896 bytes (UPX), 14,848 bytes (keylogger)

Variante de W32/Buchon.B y W32/Buchon.A

Se trata de un gusano programado en Visual C++ 6.0.

No modifica el registro para autoejecutarse en próximos reinicios (pero si crea una entrada para el troyano "keylogger" que instala).

Utiliza un solo mensaje para propagarse y no se propaga por recursos compartidos en redes.

Cuando se ejecuta, el gusano espera 10 minutos para intentar enviarse a si mismo a direcciones encontradas en archivos del sistema infectado.

El gusano utiliza para propagarse el siguiente mensaje:

Para: [destinatario]
De: [destinatario]
Asunto: Mail Delivery failure - [destinatario]

Texto del mensaje:

If the message will not displayed automatically,
you can check original in attached message.txt

Failed message also saved at:
www. [dominio] .com/inbox/security/read.asp?sessionid-?????
(check attached instructions)

+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

Datos adjuntos:

message txt         length ????? bytes        mcafee.com

En todos los casos, "?????" son números al azar (note que el nombre del adjunto es todo lo que está en la misma línea, y con una extensión .COM).

Cuando el adjunto es ejecutado en forma manual (al ser recibido), el gusano libera el troyano con características de keylogger, y lo copia con el siguiente nombre:

c:\csrss.exe

Cuando se ejecuta, se crea también el siguiente archivo:

c:\csrss.bin

CSRSS.EXE es un caballo de Troya que posee características de keylogger (un programa que monitorea constantemente la salida del teclado, para capturar todo lo ingresado a través de él). Para ejecutarlo en cada reinicio, el gusano crea la siguiente entrada en el registro (si la misma ya no existe por alguna ejecución anterior):

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windowsupdate Service = "c:\csrss.exe"

El archivo CSRSS.BIN almacena lo capturado desde el teclado.

El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en la unidad de disco C, que tengan menos de 10 megas:

.dat
.dbx
.eml
.mbx
.mdb
.tbb
.wab

También busca direcciones en archivos cuyos nombres contienen la siguiente cadena:

inbox

Para enviarse, utiliza su propio motor SMTP. Busca el servidor SMTP de la dirección utilizada, o utiliza uno de los siguientes servidores:

128.214.46.64
216.234.246.150

El troyano CSRSS.EXE contiene una rutina capaz de enviar paquetes SYN a direcciones IP tomadas al azar de una lista de 209 direcciones localizadas en su código. Utiliza puertos TCP al azar seleccionados entre el 28000 y el 28500.

También intenta enviar el archivo con datos (CSRSS.BIN), a algunas de esas direcciones.

Al conectarse, puede descargar y ejecutar otro archivo, el cuál es copiado en la carpeta de Windows. Cuando ello ocurre, la entrada en el registro creada antes ("Windowsupdate Service"), es borrada.


Reparación manual

Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\csrss.bin
c:\csrss.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Windowsupdate Service

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

15/01/05 - 19:25 -0200 (Alias: W32/Baba-B)
15/01/05 - 19:25 -0200 (Alias: Email-Worm.Win32.Buchon.c)
15/01/05 - 19:25 -0200 (Alias: Worm.SomeFool.AJ-unp)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS