Asunto: Virus Alert!

Texto: Businesses of all kinds have suffered today as a virus has been unleashed, please find the attatched cleaner and run it. You cannot tell if you have this virus until you run the cleaner.

Archivo adjunto: Regsrv32.exe

Si el usuario ejecuta el archivo adjunto, el troyano se copia a si mismo en la carpeta correspondiente al sistema de Windows:

C:\WINDOWS\SYSTEM\regsrv32.exe

Es importante notar que en esa misma ubicación, existe un archivo legítimo de Windows, de nombre parecido (REGSVR32.EXE), y la única diferencia (que puede pasar desapercibida), es el intercambio de solo dos letras, RV por VR.

Luego, el troyano modifica la siguiente rama del registro, para ejecutarse en el reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
RegPath = C:\WINDOWS\SYSTEM\regsrv32.exe

Para protegerse y hacer más difícil su detección y limpieza, el gusano también borra los archivos NETSTAT.EXE y REGEDIT.EXE del directorio de Windows:

C:\Windows\NETSTAT.EXE
C:\Windows\REGEDIT.EXE

El primero es una implementación del comando Netstat de los protocolos TCP/IP, el cuál permite mostrar estadísticas de estos protocolos y sus conexiones actuales, pudiendo ser usado para detectar la actividad de un troyano.

El segundo es el editor del registro de Windows, la falta del cuál impedirá la modificación del mismo.

Un archivo de texto, conteniendo nombres de usuarios de IRC y contraseñas, es descargada desde el sitio http://c0ntrol.virtualave.net. Esta información es utilizada para conectarse a un servidor de IRC.

Una vez conectado, el sistema infectado se mantiene a la escucha de instrucciones enviadas por el atacante desde el mismo servidor de IRC, a través del puerto 6667.

Adicionalmente, el programa es capaz de borrar los siguientes ejecutables:

APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
IAMSERV.EXE
IAMAPP.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
ZONEALARM.EXE
MINILOG.EXE
SAFEWEB.EXE
IFACE.EXE
ANTS.EXE
ANTI-TROJAN.EXE
BLACKICE.EXE
BLACKD.EXE
VSMON.EXE
WRCTRL.EXE
WRADMIN.EXE
CLEANER3.EXE
CLEANER.EXE
TCA.EXE
MOOLIVE.EXE
SPHINX.EXE

Esta lista incluye conocidos antivirus, y también cortafuegos como ZoneAlarm, etc.

El troyano también se envía en mensajes infectados como vimos antes con su código adjunto, utilizando para ello rutinas MAPI (3) para conectarse a las aplicaciones de correo electrónico.


Como sacar el virus de un sistema infectado

Para eliminar el virus manualmente, siga estos pasos:

Reinicie la computadora desde un disquete de inicio y teclee lo siguiente desde la línea de comando (cuidado al teclear el nombre del archivo, no lo confunda con el archivo legítimo de Windows REGSVR32.EXE):

del   c:\windows\system\regsrv32.exe

Reinicie Windows, e ignore el posible mensaje de error que pudiera salir.

Luego intente recuperar la utilidad REGEDIT y NETSTAT del CD de Windows. Si es usuario de Windows 98, siga estos pasos (es necesario tener a mano el CD de Windows 98, o los archivos de instalación .CAB copiados en su disco duro):

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba:

REGEDIT.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

9. Repita los pasos 2 a 8 para extraer el siguiente archivo:

NETSTAT.EXE

10. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

11. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunOnce

12. Pinche en la carpeta "RunOnce" y en el panel de la derecha busque y borre la siguiente entrada:

RegPath

13. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Glosario:

(1) BOT - Copia de un usuario en un canal de IRC, generado casi siempre por un programa, y preparado para responder ciertos comandos que se les envía en forma remota, de modo de lograr múltiples acciones coordinadas en forma simultánea, y sin nuestra intervención directa.

(2) D.D.o.S (Distributed Denial of Service). Ataques de negación de servicio distribuidos. En lugar de una sola computadora, se utilizan cientos o hasta miles de ellas, todas actuando al mismo tiempo contra una misma víctima, un servidor o cualquier computadora conectada a Internet, la que recibe una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.

(3) MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería,
trabajos en grupo, etc.


Ver también:

VSantivirus No. 358 - 1/jul/01
I-Worm.Fog. Ataques DDoS, borra REGEDIT, quita antivirus


Fuente: Network Associates
(c) Video Soft - http://www.videosoft.net.uy