C:\Windows\System\Win32load.exe

Win32load.exe es un troyano del tipo IRC BOT y downloader (un BOT es una copia de un usuario en un canal de IRC, generado por un programa, y preparado para responder ciertos comandos que se les envía en forma remota, de modo de lograr múltiples acciones coordinadas en forma simultánea).

Para que se pueda ejecutar en cada reinicio del sistema, el gusano crea las siguientes referencias en el registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Subsys =
C:\Windows\System\Win32load.exe rundll32.dll, loadsubsys,loadsys,win32

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows Subsys =
C:\Windows\System\Win32load.exe rundll32.dll, loadsubsys,loadsys,win32

En todos los casos, la carpeta "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

También modifica el valor para la siguiente entrada en el registro, cambiándolo por una entrada del tipo "DWORD:0".

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
restrictanonymous

El gusano permanece en memoria.

Para propagarse a través de una red, ejecuta un archivo de proceso por lotes llamado PSEXEC.BAT. Dicho archivo utiliza la herramienta PSEXEC.EXE para crear una copia de si mismo en otra computadora.

Intenta propagarse a otras computadoras en una red, a través de procesos de comunicación compartidos (IPC$, InterProcess Communication). El gusano intenta autenticarse el mismo a otras computadoras en la red, probando primero una conexión nula (iniciar una sesión nula, o con login anónimo), y luego con nombres y contraseñas seleccionados de una lista en su propio código.

Iniciar una sesión nula, o sesión anónima, permite a un sistema obtener información sobre la máquina y el dominio en el que se encuentra (nombres de usuario, grupos, recursos compartidos, etc.). Por defecto NT permite las conexiones nulas a un recurso \\nombreservidor\IPC$, que toda máquina NT comparte para que otras máquinas se puedan autenticar con ella.

Si el gusano logra autenticarse, utiliza el archivo PSEXEC.EXE para crear la copia ya mencionada en Windows\System\.

Sin embargo, como IPC$ solo está disponible en sistemas NT, el gusano falla al intentar propagarse en redes que no estén bajo Windows NT, 2000 o XP.

El gusano puede notificar a un atacante remoto su presencia en la máquina infectada, por medio del IRC, conectándose al servidor master.leet-gamer.net, y al canal #lc_breed. Por defecto, utiliza el puerto 6667 para esta conexión. No es necesario que la víctima tenga un cliente de IRC instalado para que ello ocurra.

El troyano permite el acceso remoto a la máquina infectada. Un usuario remoto podrá descargar y ejecutar archivos en el sistema infectado, comprometiendo su integridad.

Para instalar y manejar archivos en el sistema, se vale de LCP_NETBIOS.DLL, una librería que proporciona estos servicios en Windows NT.

El gusano puede además, iniciar ataques de denegación de servicio a otras computadoras infectadas.


Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la siguiente:

Win32load

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Windows Subsys

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

8. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

Windows Subsys

9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Control
\Lsa

10. Pinche en la carpeta "Lsa" y busque en el panel de la derecha el valor "restrictanonymous", haga doble clic sobre él e ingrese 0 (cero).

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

13. Actualice sus antivirus y realice un escaneo de sus discos, borrando los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com