|
VSantivirus No. 1656 Año 9, martes 18 de enero de 2005
W32/Buchon.F. Gusano y troyano que se envía por email
http://www.vsantivirus.com/buchon-f.htm
Nombre: W32/Buchon.F
Nombre NOD32: Win32/Buchon.F
Tipo: Gusano de Internet y Caballo de Troya
Alias: Buchon.E, Win32/Buchon.F, W32/Buchon.gen@MM, W32/Baba-C, Email-Worm.Win32.Buchon.c
Fecha: 17/ene/05
Plataforma: Windows 32-bit
Tamaño: 36 KB (UPX)
Variante levemente modificada de W32/Buchon.B y
W32/Buchon.A
Gusano programado en Visual C++ 6.0, que no modifica el registro para autoejecutarse en próximos reinicios (pero si crea una entrada para el troyano "keylogger" que instala).
Utiliza un solo mensaje para propagarse y no lo hace por recursos compartidos en redes.
Cuando se ejecuta, el gusano espera 10 minutos para intentar enviarse a si mismo a direcciones encontradas en archivos del sistema infectado.
El gusano utiliza para propagarse el siguiente mensaje:
Asunto: Important! XXX sites found on your computer!
Texto del mensaje (en formato HTML con letras rojas):
Windows Evidence Checker has found XXX content on your
computer. You can hide your activities with Evidence
Cleaner service.
To run Evidence Cleaner click to quick shortcut
attached.
Warning! Your copy of Evidence Cleaner will be expired
after 7 days. Today you can register for FREE.
Please check attached instructions for more details.
Datos adjuntos:
quick shortcut to evidence cleaner length ?? bytes evidence-cleaner-system.com
Donde "??" es un número al azar (note que el nombre completo del adjunto es el texto mostrado arriba, en una sola línea y la extensión .COM).
Cuando el adjunto es ejecutado en forma manual (al ser recibido), el gusano libera el troyano con características de keylogger, y lo copia con el siguiente nombre:
c:\csrss.exe
Cuando se ejecuta, se crea también el siguiente archivo:
c:\csrss.bin
CSRSS.EXE es un caballo de Troya que posee características de keylogger (un programa que monitorea constantemente la salida del teclado, para capturar todo lo ingresado a través de él). Para ejecutarlo en cada reinicio, el gusano crea la siguiente entrada en el registro (si la misma ya no existe por alguna ejecución anterior):
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windowsupdate Service = "c:\csrss.exe"
El archivo CSRSS.BIN almacena lo capturado desde el teclado.
El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en la unidad de disco C, que tengan menos de 10 megas:
.asp
.cgi
.dat
.dbx
.doc
.eml
.htm
.html
.mbx
.mdb
.php
.rtf
.tbb
.txt
.wab
También busca direcciones en archivos cuyos nombres contienen la siguiente cadena:
inbox
Para enviarse, utiliza su propio motor SMTP. Busca el servidor SMTP de la dirección utilizada, o utiliza uno de los siguientes servidores:
128.214.46.64
216.234.246.150
El troyano CSRSS.EXE contiene una rutina capaz de enviar paquetes SYN a direcciones IP tomadas al azar de una lista de 209 direcciones localizadas en su código. Utiliza puertos TCP al azar seleccionados entre el 28000 y el 28500.
También intenta enviar el archivo con datos (CSRSS.BIN), a algunas de esas direcciones.
Al conectarse, puede descargar y ejecutar otro archivo, el cuál es copiado en la carpeta de Windows. Cuando ello ocurre, la entrada en el registro creada antes ("Windowsupdate Service"), es borrada.
Reparación manual
Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\csrss.bin
c:\csrss.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windowsupdate Service
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|