|
VSantivirus No. 714 - Año 6 - Viernes 21 de junio de 2002
W32/HLLW.Kazmor. Se propaga a través de la red KaZaa
http://www.vsantivirus.com/kazmor.htm
Nombre: W32/HLLW.Kazmor
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Kazmor
Fecha: 20/jun/02
Tamaño: 55,808 bytes
Plataformas: Windows 9x, Me, NT, 2000 y XP
Este gusano escrito en Borland Delphi, posee la capacidad de funcionar como un caballo de Troya del tipo 'backdoor', lo que permite a un atacante el acceso clandestino a la computadora infectada, obteniendo el control no autorizado de la misma.
Se propaga a través de redes locales usando los recursos compartidos. También intenta utilizar las redes de computadoras conectadas al KaZaa, el popular programa de intercambio de archivos entre usuarios.
El gusano simula ser una película, un juego, un programa relacionado con la pornografía o una aplicación, para engañar a los usuarios del KaZaa y lograr que estos lo descarguen y ejecuten.
Cuando el usuario ejecuta el archivo que contiene el virus, se activan las siguientes acciones:
1. El gusano se copia a si mismo en la carpeta donde Windows está instalado. Ejemplo:
C:\Windows\Windows.exe
2. Agrega la siguiente entrada al registro de Windows para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = C:\Windows\Windows
3. Se abren (seleccionados al azar), algunos puertos TCP/UDP en la computadora, destinados a conectarse con un atacante remoto. Esto permite tomar el control de la computadora infectada comprometiendo su seguridad.
Si el atacante logra tomar el control, estas son algunas de las acciones posibles:
- Lanzar un ataque de paquetes IP (Internet Protocol) (ver
Glosario)
- Enviar paquetes de IP falsas (spoofed IP) a direcciones seleccionadas por el atacante.
- Descargar archivos de la computadora host
- Robo de la información del host (contraseñas, información de la computadora y de los recursos compartidos, etc.).
- Escanear puertos
El gusano intenta primero crear un script de Visual Basic llamado
MSVXD.VBS. Este script busca unidades compartidas en red en direcciones IP seleccionadas al azar, y si las encuentra, se copia a si mismo en la siguiente ubicación de esas unidades:
\Windows\Start Menu\Programs\Startup\Real Player.exe
El gusano busca en el registro el nombre y ubicación de la carpeta compartida por el programa KaZaa, la carpeta desde donde otros usuarios pueden descargar archivos, y se copia allí numerosas veces utilizando nombres diferentes seleccionados al azar. Por ejemplo:
[tmd]star wars episode 2 - attack of the clones [1of1]
jenna jameson - built for speed
[DiVX] Lord of the rings
[DiVX] Harry Potter and the sorcerors stone
CKY3 - Bam Margera World Industries Alien Workshop
cat attacks child
PS1 Boot Disc
Sony Play station boot disc
How to hack websites
AIM Account Stealer
MSN Password Hacker and Stealer
Hacking Tool Collection
Windows XP
macromedia flash 5.0
DSL Modem Uncapper
Internet and Computer Speed Booster
ZoneAlarm Firewall
Borland Delphi 6 Key Generator
Para propagarse necesita que el software KaZaa esté instalado en la máquina infectada.
Recomendamos utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por el virus
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Windows
C:\Windows\Windows
7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Glosario:
SPOOFING - "Spoofing" es la falsificación de la dirección IP de origen en los paquetes enviados.
IP SPOOFING - La técnica denominada IP Spoofing permite que un atacante tome la identidad de un host "confiable" (cambiando su dirección IP por la dirección de dicho) y obtenga de este modo accesos no autorizados a otros sistemas. En numerosos sitios (bajo Unix o Linux), existe un archivo denominado .rhosts conteniendo una lista de nombres de hosts que se consideran de confianza. Si un atacante se hace pasar por una de esas direcciones, puede llegar a ejecutar comandos en forma remota o logearse en el mismo sin una contraseña.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|