Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Zoek.D. Asunto: "Maxima Screensaver"
 
VSantivirus No. 722 - Año 6 - Sábado 29 de junio de 2002

 W32/Zoek.D. Asunto: "Maxima Screensaver"
http://www.vsantivirus.com/zoek-d.htm

Nombre: W32/Zoek.D
Tipo: Gusano de Internet
Alias: WORM_ZOEK.D, I-Worm.Zoek.D, W32/Zoek.worm, BKDR_BO2K, Bck/Orifice2K, W32/Zoek, W32.Zoek.E@mm, PWSteal.Trojan, W32.Zoek@mm, BackOrifice2k.Variant, Win32.Zoek.E, I-Worm.Zoek.e, Win32.Zoek.E.Worm, W32.Zoek.E@mm
Plataforma: Windows 32-bits
Tamaño: 217,600 bytes

Este gusano, programado en Borland Delphi, es descargado desde un enlace a un sitio Web que llega en un mensaje con el asunto "Maxima Screensaver".

El gusano se envía a todos los contactos de la libreta de direcciones de Windows (.WAB) y las recolectadas del almacén de mensajes del Outlook (.DBX).

Si el usuario descarga y ejecuta el archivo del enlace, se activa una puerta trasera en el sistema, a través de la cuál se envía el mismo mensaje infectado a todos los contactos de la libreta de direcciones de Windows.

El backdoor es una variante del Back Orifice 2000, que permite acciones no autorizadas de un atacante en su PC, vía remota. El troyano abre el puerto TCP 33530 y queda a la escucha por ordenes remotas de parte de un atacante.

Se recomienda utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet (ver Referencias).

Cuando se ejecuta el adjunto del mensaje recibido, el gusano muestra un gráfico con fondo negro que ocupa todo el escritorio y contiene el mensaje 'One Moment Please' y un gran botón con la inscripción 'Windows Restart?'.

Luego, el gusano crea los siguientes archivos:

C:\Windows\HOEN.TXT 
C:\Windows\TACASUTA.EXE 
C:\Windows\TCASUTA.TXT 
C:\Windows\ACCOUNTBOY.INI 
C:\Windows\MAILBOY2.INI 
C:\Windows\ATTACHEDREADY.INI 
C:\Windows\IPINFO.TXT

En el archivo ACCOUNTBOY.INI guarda la información correspondiente a la configuración SMPT y POP3 de las cuentas de correo del usuario.

IPINFO.TXT contiene la configuración del protocolo IP obtenida con la salida del comando de Windows Winipcfg.

MAILBOY2.INI contiene las direcciones de correo a las que se enviará. Estas direcciones son recolectadas de la libreta de direcciones y de la base de mensajes del Outlook de la máquina infectada.

TCASUTA.EXE es una copia del gusano, que es ejecutada luego de la copia.

HOEN.TXT y TCASUTA.TXT son componentes codificados en formato Base64 del propio gusano.

También se crea la siguiente entrada del registro para autoejecutarse en el próximo reinicio de Windows.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Tcasuta = "C:\Windows\tcasuta.exe dec"

Esta modificación se crea al producirse la infección, pero se elimina al reiniciarse Windows por primera vez después de la infección. El comando 'dec' es el responsable de la creación del archivo HOEN.EXE.

En segundo plano, el gusano activa el Outlook Express o el Outlook, para generar y enviar sus mensajes infectados. El gráfico mencionado antes, cubre todo el escritorio, por lo que esta acción puede no ser vista por el usuario.

El mensaje tiene estas características:

Asunto: Maxima Screensaver
Texto: http://home.wandoo.nl/kees.tittel/screenmaxima.scr

La página actualmente no existe.

Cuando el usuario pincha sobre el botón 'Windows Restart?' comentado antes, el gusano procede a enviar masivamente el mismo mensaje, a la lista de destinatarios recogida previamente y ya explicada.

En los próximos reinicios de Windows, se ejecuta la copia del gusano, el archivo TCASUTA.EXE.

El gusano extrae del archivo HOEN.TXT el código en base64 que crea el archivo HOEN.EXE, el cuál es luego ejecutado, y a su vez lanza el componente troyano, TCASUTB.EXE, perteneciente al BackOrifice 2000, en el directorio \Windows\System.

TCASUTB.EXE borra al archivo HOEN.EXE y modifica el registro para autoejecutarse en el próximo reinicio (el componente troyano):

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Tcasutb.exe = C:\Windows\System\tcasutb.exe

C:\Windows\System puede tener otros nombres, de acuerdo a la versión de Windows instalada.

Cuando se ejecuta, este componente elimina los archivos y las entradas del registro pertenecientes al Norton AntiVirus.


Reparación manual

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale las entradas que aparezcan entre las siguientes posibilidades:

Tcasuta
Tcasuta.exe
Screenmaxima
Screenmaxima.scr
Tcasutb
Tcasutb.exe

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Tcasuta

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

8. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

Tcasutb.exe

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Seleccione Inicio, Buscar, Archivos o carpetas

11. Teclee lo siguiente y pulse ENTER (un nombre por vez)

Hoen.txt
Tcasuta.txt
Accountboy.ini
Mailboy2.ini
Attachedready.ini
Ipinfo.txt

12. Borre el archivo que aparezca, reiterando los pasos 11 y 12 hasta acabar con la lista.

13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm

VSantivirus No. 412 - 24/ago/01
W32/Zoek@mm. Ejecuta una variante del BackOrifice 2K
http://www.vsantivirus.com/zoek.htm

VSantivirus No. 88 - 12/jul/99
El Back Orifice 2000, la nueva amenaza que ya está aquí
http://www.vsantivirus.com/bo2k.htm


Modificaciones:
03/jul/02 - Alias: Win32.Zoek.E, I-Worm.Zoek.e, Win32.Zoek.E.Worm, W32.Zoek.E@mm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS