VSantivirus No. 1142 Año 7, Sábado 23 de agosto de 2003
W32/Cult.I. Datos adjuntos: "BlueMountaineCard.pif"
http://www.vsantivirus.com/cult-i.htm
Nombre: W32/Cult.I
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Cult.H@mm
Plataforma: Windows 32-bit
Tamaño: 22,528 bytes
Fecha: 20/ago/03
Este gusano de la familia "Cult", también está basado en un conocido BOT de IRC llamado SdBot (un BOT es una copia de un usuario en un canal de IRC, generado por un programa, y preparado para responder comandos que se les envía en forma remota). SdBot es un programa que permite a un atacante remoto tomar el control de un sistema y ejecutar comandos en forma local, usando el IRC como protocolo.
Cuando se ejecuta, el gusano intenta esconderse a si mismo de la lista de procesos activos, se copia a la carpeta System y se ejecuta desde allí:
c:\windows\system\iexplorer.exe
Este archivo no es el verdadero Explorer, que se llama IEXPLORE.EXE (sin la "r" final), y generalmente se encuentra en Archivos de programa\Internet Explorer\.
El gusano también crea las siguientes entradas en el registro, para autoejecutarse en próximos reinicios de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
sysconfig = c:\windows\system\iexplorer.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
sysconfig = c:\windows\system\iexplorer.exe
NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
Luego, el gusano queda "dormido" en memoria hasta que detecte una conexión a Internet activa. Cuando ello ocurre, intentará conectarse a un canal de IRC (Internet Relay Chat), usando este servidor:
irc.undernet.org
Utiliza un nombre de usuario (nick) y contraseñas predefinidos, para conectarse a un determinado canal.
Un atacante puede utilizar esta conexión para realizar en forma remota cualquiera de las siguientes acciones en la computadora infectada:
- Actualización dinámica del propio gusano, agregando nuevas características
- Comandos IRC a otros usuarios
- Descarga y ejecución de archivos (por ejemplo, otros troyanos o gusanos)
- Desconexión y deshabilitación del propio gusano
- Ejecución de la rutina de envío masivo vía e-mail
- Envío de información privada y del sistema al atacante
- Envío del gusano a otros canales de IRC para infectar otras computadoras
- Navegación remota por el Web
- Obtener lista de recursos compartidos en red
- Realizar ataques del tipo FLOODING (literalmente inundar de información basura al servidor).
- Redireccionar puertos
Una de sus acciones, le permite enviarse a otros usuarios vía correo electrónico, a través de comandos ejecutados por el atacante. Las direcciones son especificadas por éste, quien puede utilizar una lista predefinida. De este modo, puede utilizar a sus víctimas para enviar correo masivo.
Los mensajes generados pueden tener este formato:
De: [nombre y dominios seleccionados de una lista]
Asunto: I Love You ^_^ I sent you a beautiful Love Card
Datos adjuntos: BlueMountaineCard.pif
Texto:
To see your Card, Please open the attachment
If you want to send a reply, please visit
http:/ /www.Love-card.com/Love/index.html
Thank You...
El valor en el campo "De:", está formada con tres partes:
[nombre]+[dígitos]+[@dominio]
[nombre] es seleccionado de la siguiente lista:
Aites
Darnel
Halla
Mennig
Nareman
Nobile
Palmese
En ocasiones, no siempre, se le agrega al nombre uno o más [dígitos]. Ej.:
Aites87
Halla241
Como [@dominio] se selecciona uno de la siguiente lista:
earthlink.net
email.com
hotmail.com
msn.com
roadrunner.com
yahoo.com
Para el envío a través del correo, utiliza su propia rutina SMTP, por lo que no depende del programa de correo instalado en la computadora infectada para propagarse.
El gusano también puede corromper algunos archivos del sistema cuando se propaga.
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\iexplorer.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
sysconfig
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
sysconfig
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|