Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Leave.C.Worm. Otro boletín de seguridad falso
 
VSantivirus No. 393 - Año 5 - Domingo 5 de agosto de 2001

Nombre: W32/Leave.C.Worm
Tipo: Gusano de Internet, Caballo de Troya
Alias: Win32.Leave.C, W32/Leave.C
Fecha: 17/jul/01
Tamaño: 76,800 bytes, 22,528 bytes, 54,272 bytes

Esta nueva variante del gusano, se propaga descargando el archivo ms_v275657_x86_en.exe.

Existen al menos tres componentes conocidos:

BIN.DLL (22,528 bytes)
REGISTRY.DLL (54,272 bytes)
REGSV.EXE (Puede tener otro nombre) (76,800 bytes)

El .EXE puede tener diferentes nombres. Todos ellos están comprimidos con la utilidad UPX.

Cuando el archivo .EXE se ejecuta, el gusano se copia en esta ubicación (C:\WINDOWS debe tomarse solo como referencia, ya que depende de donde se haya instalado el sistema operativo):

c:\WINDOWS\regsv.exe

También crea este archivo conteniendo lo que parecen datos encriptados:

c:\WINDOWS\acI3.dll

También crea estas entradas en el registro:

HKU\.Default\Software\Mirabilis\ICQ\Agent\Apps
icqrun="C:\WINDOWS\regsv.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
regsv="C:\WINDOWS\regsv.exe"

También se crean las siguientes claves, las cuáles contienen numerosas subcarpetas con datos encriptados:

HKLM\SOFTWARE\Classes\Scandisk\i386\i\
HKLM\SOFTWARE\Classes\Scandisk\i386\s\ 

El archivo .EXE contiene la contraseña maestra para acceder al troyano SubSeven, el cuál usa para infectar otras computadoras, ejecutando un escaneo de puertos en múltiples subredes, e intentando conectarse al puerto TCP/IP 27374.

Una vez que se conecte a un servidor del Sub7, el gusano copia sus archivos al sistema remoto.

El ejecutable también contiene rutinas para conectarse con servidores de tiempo y servidores de IRC, así como para descargar otros archivos de Internet.

El archivo REGISTRY.DLL posee una rutina de envío por e-mail.

La mayoría de las variantes de este gusano, simula ser un boletín de Microsoft como este (también cambia la versión del boletín, con respecto a la versión .B del virus):

---- Comienzo del texto falso ----

From: secnotif@MICROSOFT.COM
Subject:Microsoft Security Bulletin MS01-039 
Message:

The following is a Security Bulletin from the Microsoft Product Security Notification Service.

Please do not reply to this message, as it was sent from an unattended mailbox.
********************************

- -----------------------------------------------------------
Title: Vulnerability in Windows systems allowing an upload of a serious virus.
Date: 10 July 2001
Software: Windows 2000
Impact: Privilege Elevation
Bulletin: MS01-039

Microsoft encourages customers to review the Security Bulletin at:
http://www.microsoft.com/technet/security/bulletin/MS01-039.asp
- -----------------------------------------------------------

Yesterday the internet has seen one of the first of it's downfalls. A virus (no name assigned yet) has been released. One with the complexity to destroy data like none seen before.

Systems affected:
=================
Microsoft Windows 95
Microsoft Windows 95b
Microsoft Windows 98
Microsoft Windows 98/SE
Microsoft Windows NT Enterprise
Microsoft Windows NT Workstation
Microsoft Windows Millenium Edition
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Service packs up to Service Pack 6 for Windows NT 3/4 Systems.
Service pack 1 and 2 for windows 2000.

Issue:
======
Officials say this virus is unique in many ways. It spreads via new forms, such as using a new vulnerability in Windows 98 allowing already infected computers to upload (send files) to non-infected computers, this means that you do not have to download or visit a site to be infected with the virus. The infected computers are programmed to scan for computers running Windows 9x, and Windows 2000 and uploading the virus.

-What the virus does:

The virus itself is a threat to normal users aswell as businesses. Cooper from microsoft said "This virus has the ability to wipe out most of the internet users and the chances are it will, the risk is high, patches must be installed to affected systems." The virus itself is made for one reason and one reason only, to reproduce, destroy documents, delete mp3 files, movie files, infect .exe files, this virus also has a unique feature that destroys the BIOS (Basic Input Output System), which means ones that are infected would need to purchase a new otherboard.

Patch Availability:
===================
Visit
http://www.microsoft.com@[aquí va una dirección desde donde se descarga el virus, que ya ha sido cerrada] to download the patch named ms_v275657_x86_en.exe. Download and run the file.

Acknowledgment:
===============
- Jon McDonald (http://www.entrigue.net)
- Russ Cooper (http://www.ntbugtraq.com)

- -----------------------------------------------------------

THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY.


-----BEGIN PGP SIGNATURE-----
Version: PGP Personal Privacy 6.5.3

iQEVAwUBOzfaRo0ZSRQxA/UrAQE22gf/W+GD69o8ARA8tPFFJ1hEEa+ISUCqzsad
KCozn4q15zGvZZnM4INxaiD5tPZKkJWIyx8+w5V4AdgTJDLF2YW8ADdk7Dpt1gk9
bOMkr9ipsX5qP5eD3c2cOj+kIQUKQ4Ql5UOW2l6HvrRZUXHyL9sHPpK1+1vwej2z
E9/x0VTDDKu3uc3KTHFFTVbgIfibT4z3zcZUDC0omH8oU+3eNjYwn343ATd+LXMx
Hpsrhrq/gvZc98FYEOW0Re9kHoGuLkDWqdtz63xOxziHjliASPpxsxmJ71bAx0v4
bVuQYQQ+AZklgYwzYDkCfciTfOjjRvi82whlzMDur/t6UtwW3Fe1Zg==
=QExj
-----END PGP SIGNATURE-----

*************************************************************
You have received this e-mail bulletin as a result of your registration to the Microsoft Product Security Notification Service. You may unsubscribe from this e-mail notification service at any time by sending an e-mail to MICROSOFT_SECURITY-SIGNOFF-REQUEST@ANNOUNCE.MICROSOFT.COM The subject line and message body are not used in processing the request, and can be anything you like.

To verify the digital signature on this bulletin, please download our PGP key at http://www.microsoft.com/technet/security/notify.asp.

For more information on the Microsoft Security Notification Service please visit http://www.microsoft.com/technet/security/notify.asp. For security-related information about Microsoft products, please visit the Microsoft Security Advisor web site at http://www.microsoft.com/security

---- Final del mensaje falso ---- 

El archivo REGISTRY.DLL posee una rutina de envío por e-mail.

El gusano, básicamente se propaga escaneando la red en busca de computadoras que tengan instalado el troyano SubSeven (BackDoor-G), y las infecta, utilizando la clave maestra de este troyano para acceder a él.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red"), que detendrá y advertirá la conexión del troyano con Internet.

Para sacar el virus de un sistema infectado, ejecute un antivirus al día, elimine los archivos Bin.dll, Registry.dll, Regsv.exe, Rg32.dll, Aci32.dll, Aci3.dll y luego quite del registro de Windows (utilizando REGEDIT), estas referencias:

Borre "Scandisk" en la rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Classes
Scandisk

Borre "regsv" en la rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

Borre "icqrun" en la rama:

HKEY_USERS
.Default
Software
Mirabilis
ICQ
Agent
Apps


Ver también:


11/jul/01 - W32/Leave.B.Worm. Usa un falso boletín de Microsoft
24/jun/01 - W32/Leave.worm. Infecta usando el troyano SubSeven
11/mar/01 - Trojan.SubSeven.2.2. Ultima versión del peligroso troyano
04/ene/01 - Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.
29/dic/00 - VBS.Sorry.A. Busca PC infectadas con el trojan SubSeven
23/dic/00 - Troj_Sub7drpr.B. "Dropper" de Troj_Sub7.401315
21/dic/00 - Troj_Sub7.401315. Otra variante del troyano SubSeven
12/dic/00 - Trojan: Pillapass. Simula ser un robador de contraseñas
03/dic/00 - Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
04/dic/99 - Trojan: SubSeven 2.1



Fuente: Network Associates
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS