VSantivirus No. 881 - Año 7 - Jueves 5 de diciembre de 2002
W32/Burnox. Datos adjuntos: "MicrosoftUpdate.com"
http://www.vsantivirus.com/burnox.htm
Nombre: W32/Burnox
Tipo: Gusano de Internet
Alias: I-Worm.Burnox
Fecha: 4/dic/02
Plataforma: Windows 32-bits
Tamaño: 4 Kb (FSG), 20 Kb
Este gusano se propaga a través del correo electrónico y también a través de la red KaZaa (P2P). Además, el gusano descarga de Internet y luego instala, un caballo de Troya que permite a un atacante tomar el control de la computadora infectada en forma remota.
El gusano es un archivo ejecutable en formato PE (Portable Executable), programado en Visual Basic, de solo 4 Kb, comprimido con la utilidad FSG. Descomprimido, el gusano tiene unos 20 Kb.
Cuando el adjunto se ejecuta, el gusano se copia en el sistema con el nombre de
"MicrosoftUpdate.com", y se agrega al registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Update = C:\Windows\System\MicrosoftUpdate.com
"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
También crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
Startup = 1
"Startup" es una variable cuyo valor irá aumentando de uno en uno, con cada ejecución del gusano. De acuerdo al valor de este contador, el gusano ejecutará o no sus rutinas de propagación.
Para propagarse a través del correo electrónico, utiliza el Outlook para enviar mensajes como el siguiente a todos los contactos de la libreta de direcciones:
Asunto:
Important: Microsoft Windows Patch For Xp,2k,ME,98,95.
Datos adjuntos:
MicrosoftUpdate.com
Texto del mensaje:
Microsoft just release this patch for all versions
of Microsoft Windows. This update patches many of
the recent vulnerabilities! It is recommended that
you patch your operating system now. Though it is
not required. *Please Note* This is not the actual
Microsoft patch. The attached program is Microsoft
Update
El gusano solo puede activarse si el usuario hace doble clic sobre el adjunto, cuyo nombre es parecido al del sitio Web de actualizaciones de Microsoft
(WindowsUpdate.com). Esto pretende generar confusión en el usuario, de modo de aumentar las probabilidades de difundirse.
Para propagarse a través del KaZaa, el gusano crea un subdirectorio "system16" en la carpeta System de Windows:
C:\Windows\System\system16
"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
Luego, el gusano se copia en dicha carpeta, con los siguientes nombres:
aim crack.exe
App Crack.exe
App.exe
burn dreamcast.exe
Burn ps2 Games To A Single CD-R.exe
Burn ps2.exe
burn xbox.exe
Cheat.exe
Cracker.exe
Game Hack.exe
Game Trainer.exe
Game.exe
Games trainer.exe
Games.exe
Hacker.exe
Hacks.exe
icq crack.exe
icq lite.exe
icq2002a.exe
icq2003a.exe
icq2003a.exe
icq2003b.exe
icq2003Final.exe
imeshv2.exe
kmd.exe
Ps2 Bios Emulation.exe
Trainer.exe
xbox Bios Hack.exe
xbox Hacker.exe
El directorio "System16" es registrado como directorio de intercambio del KaZaa. Cualquiera de esos archivos descargado y ejecutado por un usuario con antivirus no actualizado, provocará la misma infección que al abrir el adjunto de un mensaje infectado.
El gusano también descargará el troyano Backdoor.Slackbot.
El troyano es copiado como "c:\unxrt.exe" y luego ejecutado.
En caso de haberse producido la ejecución del troyano descargado por el gusano, siga las siguientes instrucciones para quitarlo de su sistema:
Backdoor.Slackbot.B - Puerta trasera y cliente IRC propio
http://www.vsantivirus.com/backdoor-slackbot-b.htm
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
Deshabilitar las entradas en el registro del KaZaa
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
3. Pinche en la carpeta "LocalContent" y en el panel de la derecha busque y borre la siguiente entrada:
DisableSharing = "0"
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Reparación manual
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos (el segundo podría no existir):
C:\Windows\System\MicrosoftUpdate.com
C:\Unxrt.exe
También borre la carpeta "system16" y su contenido:
C:\Windows\System\system16
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Windows Update
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
5. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha busque y borre la siguiente entrada:
Startup
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|