VSantivirus No. 825 - Año 6 - Jueves 10 de octubre de 2002
W32/Shorm.B. Roba claves y datos de acceso a Internet
http://www.vsantivirus.com/shorm-b.htm
Nombre: W32/Shorm.B
Tipo: Gusano de Internet y troyano
Alias: W32.HLLW.Shorm.B, W32/Shorm.worm.gen
Fecha: 7/oct/02
Tamaños: 30208, 37888, 39424 bytes
Plataformas: Windows 32-bit
Este gusano de 32 bit, se propaga intentándose conectar en un rango predeterminado de direcciones IP, a una computadora remota. Si el disco es compartido en modo "Tipo de acceso: completo", el gusano se copia a si mismo a cada directorio de inicio de Windows (si existe en ese disco).
El gusano funciona además como un troyano robador de contraseñas. Utilizando algunas DLLs del sistema, obtiene toda la información relativa al RAS Dial-Up (Remote Access Service), o sea la información de acceso a Internet, tal como nombre de usuario, claves, etc., así como los passwords que permanecen en el caché.
Es capaz de auto actualizarse conectándose a una página Web rusa. El gusano envía la lista de contraseñas robadas a una dirección electrónica en un host anónimo también de Rusia.
Debido a su habilidad de actualizarse a si mismo, el nombre de los archivos que genera pueden variar.
Es una variante del W32/Shorm, detectado por primera vez en enero de 2001.
Al ejecutarse, el gusano examina si hay una conexión activa a Internet, y busca en un sitio Web predeterminado si existen actualizaciones de su código.
Estas actualizaciones llevan un nombre del tipo WORMxx.BMP, aunque en realidad no son archivos de imágenes (BMP). Las
"xx" representan números de dos dígitos.
Si existe , el gusano lo descarga y luego ejecuta. Al hacerlo, el gusano se copia en la carpeta de Windows (normalmente C:\Windows o C:\WinNT). Algunos nombres conocidos (puede variar):
C:\Windows\Interet32.exe
C:\Windows\Files32.vxd
C:\Windows\Winint32.exe
C:\Windows\Mpr32.dll
Este último (Mpr32.dll), se crea solo si el archivo copiado antes es
Winint32.exe.
El gusano crea también la siguiente entrada en el registro si el archivo se llama
Interet32.exe:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Interet32 = Interet32.exe
Si el archivo se llama Winint32.exe:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winint32 = Winint32.exe
Si el archivo creado es Files32.vxd, cambia el valor (Predeterminado) en la siguiente clave:
HKLM\Software\Classes\exefile\shell\open\command
(Predeterminado) = Files32.vxd "%1%*
Esto hace que el gusano se ejecute cada vez que lo haga un archivo
.EXE (la mayoría de los programas).
El gusano también puede descargar una archivo conteniendo una lista de direcciones IP, pero con solo los primeros tres octetos en lugar de los cuatro característicos de toda dirección IP. Por ejemplo:
194.135.175.
213.24.179.
195.209.191.
213.59.57.
Al azar, el gusano selecciona una de estas máscaras de subred, e intenta conectarse a cada máquina en esa subred, generando el último octeto.
Si se establece una conexión, el gusano intenta acceder a los discos duros de la computadora remota, y localizar el nombre del directorio de inicio de Windows en esa PC.
Entonces, se copia a si mismo a esas computadoras, con uno de los siguientes nombres:
\WINDOWS\Menú Inicio\Programas\Inicio\Auto.exe
\WINDOWS\Menú Inicio\Programas\Inicio\Auto16.exe
\WINDOWS\Menú Inicio\Programas\Inicio\Worm23.exe
\WINDOWS\Menú Inicio\Programas\Inicio\Worm25.exe
\WINDOWS\Menú Inicio\Programas\Inicio\Script.exe
En el próximo reinicio de Windows en esa computadora, el gusano se ejecutará automáticamente.
Para eliminar el gusano de un sistema infectado
Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej.: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\exefile
\shell
\open
\command
5. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) = Files32.vxd "%1%*
6. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador
(Files32.vxd) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje,
asterisco):
"%1" %*
7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre cualquiera de las siguientes entradas que allí existan (esto depende del nombre conque se copió el gusano):
Interet32 = Interet32.exe
Winint32 = Winint32.exe
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar los archivos creados por el gusano
1. Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos ellos pueden aparecer):
C:\Windows\Interet32.exe
C:\Windows\Files32.vxd
C:\Windows\Winint32.exe
C:\Windows\Mpr32.dll
C:\WINDOWS\Menú Inicio\Programas\Inicio\Auto.exe
C:\WINDOWS\Menú Inicio\Programas\Inicio\Auto16.exe
C:\WINDOWS\Menú Inicio\Programas\Inicio\Worm23.exe
C:\WINDOWS\Menú Inicio\Programas\Inicio\Worm25.exe
C:\WINDOWS\Menú Inicio\Programas\Inicio\Script.exe
2. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
Finalmente, actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos duros.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|