Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Cult.F. Puede ser usado para enviar correo masivo
 
VSantivirus No. 1037, Año 7, Sábado 10 de mayo de 2003

W32/Cult.F. Puede ser usado para enviar correo masivo
http://www.vsantivirus.com/cult-f.htm

Nombre: W32/Cult.F
Tipo: Gusano de Internet
Alias: Win32/Cult.F@mm, Trojan/SdBot, Backdoor/IRC.SdBot, Win32/Lanet.B@MM
Plataforma: Windows 32-bit
Fecha: 8/may/03

Se trata de una nueva variante de la familia "Cult", identificado por algunos antivirus como "SdBot", y ha sido reportado en la calle. Está basado en un conocido BOT de IRC llamado SdBot (un BOT es una copia de un usuario en un canal de IRC, generado por un programa, y preparado para responder comandos que se les envía en forma remota). SdBot es un programa que permite a un atacante remoto tomar el control de un sistema y ejecutar comandos en forma local, usando el IRC como protocolo.

Cuando se ejecuta, el gusano intenta esconderse a si mismo de la lista de procesos activos, se copia a la carpeta System y se ejecuta desde allí:

c:\windows\system\iexplorer.exe

Este archivo no es el verdadero Explorer, que se llama IEXPLORE.EXE (sin la "r" final), y generalmente se encuentra en Archivos de programa\Internet Explorer\.

El gusano también crea las siguientes entradas en el registro, para autoejecutarse en próximos reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
sysconfig = c:\windows\system\iexplorer.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
sysconfig = c:\windows\system\iexplorer.exe

NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Luego, el gusano queda "dormido" en memoria hasta que detecte una conexión a Internet activa. Cuando ello ocurre, intentará conectarse a un canal de IRC (Internet Relay Chat), usando este servidor:

irc.undernet.org

Utiliza un nombre de usuario (nick) y contraseñas predefinidos, para conectarse a un determinado canal.

Un atacante puede utilizar esta conexión para realizar en forma remota cualquiera de las siguientes acciones en la computadora infectada:

  • Obtener lista de recursos compartidos en red
  • Redireccionar puertos
  • Realizar ataques del tipo FLOODING (literalmente inundar de información basura al servidor).
  • Navegación remota por el Web
  • Comandos IRC a otros usuarios
  • Desconexión y deshabilitación del propio gusano
  • Envío de información privada y del sistema al atacante 
  • Descarga y ejecución de archivos (por ejemplo, otros troyanos o gusanos)
  • Actualización dinámica del propio gusano, agregando nuevas características
  • Envío del gusano a otros canales de IRC para infectar otras computadoras
  • Ejecución de la rutina de envío masivo vía e-mail

Esta última acción le permite enviarse a otros usuarios vía correo electrónico, a través de comandos ejecutados por el atacante. Las direcciones son especificadas por éste, quien puede utilizar una lista predefinida. De este modo, puede utilizar a sus víctimas para enviar correo masivo.

Los mensajes generados pueden tener este formato:

De: [nombre y dominios seleccionados de una lista]
Asunto: Hi, I sent you an eCard from BlueMountain.com
Datos adjuntos: BlueMountaineCard.pif

Texto:
To view your eCard, open the attachment
If you have any comments or questions, please visit
http://www.bluemountain.com/customer/index.pd

Thanks for using BlueMountain.com.

El valor en el campo "De:", es seleccionado de una lista de más de 100 nombres y estos 6 dominios:

hotmail.com
msn.com
yahoo.com
Roadrunner.com
Earthlink.net
email.com

Para el envío a través del correo, utiliza su propia rutina SMTP, por lo que no depende del programa de correo instalado en la computadora infectada para propagarse.

El gusano también puede corromper algunos archivos del sistema cuando se propaga.


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\iexplorer.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

sysconfig

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

sysconfig

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS