Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Ladex. Un gusano oculto en Windows NT, 2000 y XP
 
VSantivirus No. 748 - Año 6 - Viernes 26 de julio de 2002

 W32/Ladex. Un gusano oculto en Windows NT, 2000 y XP
http://www.vsantivirus.com/ladex.htm

Nombre: W32/Ladex
Tipo: Gusano
Alias: Worm.Win32.Ladex
Fecha: 25/jul/02
Plataformas: Windows NT, 2000 y XP
Tamaño: 275 Kb
Fuente: Kaspersky

Este gusano afecta solo computadoras ejecutando Windows NT, 2000 o XP, y se distribuye en redes locales.

Se trata de una aplicación EXE en formato PE (Portable Executable), escrita en Microsoft Visual C++, de aproximadamente 275 Kb.

Cuando se ejecuta por primera vez (debe ser ejecutado deliberadamente o mediante engaños por la víctima), el gusano crea tres copias de si mismo en el directorio de Windows:

C:\WinNT\Help\DOSAPP.HLP
C:\WinNT\Inf\CDROM.SYS
C:\WinNT\Fonts\DOSOEM.FON

'C:\WinNT' puede variar de acuerdo a la versión de Windows instalada (por defecto C:\WINNT en Windows NT/2000 o C:\WINDOWS en Windows XP).

Genera también los siguientes componentes (con atributos de ocultos):

C:\WinNT\SMSS.EXE
C:\WinNT\CSRSS.EXE
C:\WinNT\System32\LADY.EXE

Luego, registra los archivos SMSS.EXE y CSRSS.EXE en el registro del sistema, para asegurarse su ejecución al reiniciarse el sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = smss.exe
(Predeterminado) = csrss.exe

Después de ello, el gusano se registra a si mismo como un servicio con el siguiente nombre:

TCP/IP NetBIOS Provider

Luego de los cambios en el registro, cuando el sistema se reinicia por primera vez o se reinicia el servicio "TCP/IP NetBIOS Provider", el gusano se copia a si mismo en la siguiente ubicación:

C:\WinNT\System32\LMHSVC.EXE

Para propagarse, el gusano examina las direcciones IP de la red local e intenta conectarse a los recursos de la red con los nombres IPC$ y Admin$, bajo el nombre de usuario "Administrator".

Si esto es exitoso, el gusano se copia en las computadoras remotas en los directorios del sistema:

\\XXX.XXX.XXX.XXX\Admin$\System32\lmhsvc.exe

Las 'XXX' representan la dirección IP de cada computadora accedida.

Luego de ello, el gusano se registra a si mismo en la computadora remota, creando y reiniciando el servicio "TCP/IP NetBIOS Provider".

Con la ayuda de los componentes adicionales SMSS.EXE y CSRSS.EXE, el gusano intenta ocultarse para dificultar su eliminación. Ambos archivos aseguran el funcionamiento del módulo principal (LMHSVC.EXE) si por alguna razón este es descargado de memoria.

Además, monitorean el editor del registro del sistema (REGEDIT, REGEDT32), y si este archivo es ejecutado, remueven temporalmente las claves que cargan el gusano en memoria, y las reinstalan cuando el editor es cerrado. De esta forma, con el gusano activo en memoria es imposible descubrirlo o eliminarlo del registro de Windows.

El gusano ejecuta también un programa del tipo broma (joke), llamado LADY.EXE, el cuál muestra en pantalla una moscas que deben ser 'matadas' con el cursor del ratón.


Eliminación manual

Debido a las características de ocultación del gusano, para eliminarlo se deberán desconectar todas las computadora de la red, reiniciar cada una en modo a prueba de fallos, y borrar los archivos mencionados además de las claves 'smss.exe' y 'csrss.exe' de la entrada 'HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run'.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS