|
VSantivirus No. 976 - Año 7 - Lunes 10 de marzo de 2003
A fondo: W32/Deloder. Se propaga por el puerto 445
http://www.vsantivirus.com/deloder.htm
Nombre: W32/Deloder
Tipo: Gusano de Internet
Alias: W32.HLLW.Deloder, WORM_DELODER.A, W32/Deloder-A, Deloder, W32/Deloder.worm, W32/Troj/Backdoor/Deloder, Worm.Win32.Deloder, Backdoor.Dvldr, Win32.Deloder Trojan, BKDR_DELODER.A, BackDoor.ARG
Fecha: 8/mar/03
Plataforma: Windows 2000 y XP (pero puede propagarse
desde Win9x, Me)
Tamaño: 745,984 bytes
Symantec ha anunciado la presencia de un nuevo gusano que se vale del puerto TCP/445 para propagarse.
Aunque la mayoría de los usuarios conoce los riesgos del puerto 139, usado por Windows para compartir archivos y carpetas, muchos ignoran que el puerto 445 en W2K, XP y Server 2003, permite prácticamente lo mismo que el anterior. En este caso, es usado por el SMB (Server Message Block).
El gusano Delolder (de origen Chino), hace uso de una herramienta legítima, PSEXEC.EXE (de SysInternals), para modificar y ejecutar en forma remota los archivos involucrados con el gusano. También apela a un sistema de despliegue remoto (VNC), también legítimo, para sus acciones de troyano de acceso remoto.
El archivo con el que se transmite es DVLDR32.EXE, el cuál está programado en Microsoft Visual C++ y comprimido con la utilidad
ASPack.
Cuando DVLDR32.EXE se ejecuta, el gusano extrae el archivo PSEXEC.EXE en el mismo directorio. Como dijimos, PSEXEC es una herramienta de red totalmente legal pero contiene datos binarios embebidos en su código, que son grabados en la carpeta "\\RemoteSystem\ADMIN$\System32" como PSEXESVC.EXE, el cuál es luego ejecutado, funcionando como servidor de PSEXEC.EXE, responsable de iniciar los procedimientos remotos y redireccionamientos de entrada y de salida de y hacia la máquina cliente.
PSEXEC.EXE inicia a PSEXESVC.EXE pasándole argumentos en la línea de comandos (login, etc.). Sin estos argumentos, el proceso se comporta con los privilegios normales de cualquier usuario que ejecuta esta herramienta.
El gusano crea luego la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
messnger = [camino donde se ejecuta el troyano]\Dvldr32.exe
Para evitar múltiples instancias de si mismo en memoria, el troyano crea un único mutex llamado "testXserv", que utiliza como semáforo para indicar que ya se está ejecutando.
El gusano utiliza el puerto TCP/445 (conocido por Microsoft como "DS port") para conectarse a máquinas remotas en la misma red. Realiza un escaneo en un rango de direcciones IP determinadas, buscando computadoras con este puerto abierto. Si los encuentra, intenta loguearse en estas máquinas como administrador, utilizando
una de las siguientes contraseñas:
"" (solo Enter)
"0"
"000000"
"00000000"
"007"
"1"
"110"
"111"
"111111"
"11111111"
"12"
"121212"
"123"
"123123"
"1234"
"12345"
"123456"
"1234567"
"12345678"
"123456789"
"1234qwer"
"123abc"
"123asd"
"123qwe"
"2002"
"2003"
"2600"
"54321"
"654321"
"88888888"
"a"
"aaa"
"abc"
"abc123"
"abcd"
"admin"
"Admin"
"admin123"
"administrator"
"alpha"
"asdf"
"computer"
"database"
"enable"
"foobar"
"god"
"godblessyou"
"home"
"ihavenopass"
"Internet"
"login"
"Login"
"love"
"mypass"
"mypass123"
"mypc"
"mypc123"
"oracle"
"owner"
"pass"
"pass"
"passwd"
"password"
"Password"
"pat"
"patrick"
"pc"
"pw"
"pw123"
"pwd"
"qwer"
"root"
"secret"
"server"
"sex"
"super"
"sybase"
"temp"
"temp123"
"test"
"test123"
"win"
"xp"
"xxx"
"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
"yxcv"
"zxcv"
Si el acceso se produce satisfactoriamente, el troyano hace uso de la herramienta PSEXEC.EXE para crear una copia con el nombre de DVLDR32.EXE y los atributos de solo lectura habilitados (+R) en la máquina accedida.
También libera un archivo con el nombre de INST.EXE en las siguientes ubicaciones:
\%s\C$\WINNT\All Users\Start Menu\Programs\Startup\
\%s\C\WINDOWS\Start Menu\Programs\Startup\
\%s\C$\Documents and Settings\All Users\Start Menu\Programs\Startup\
Donde "$s" corresponde al nombre de red asignada a esa computadora.
Estas carpetas, excepto una con un camino equivocado (\%s\C\), usualmente corresponden a las carpetas de inicio, de modo que el troyano se ejecutará cada vez que una de esas computadoras se reinicie.
INST.EXE es el componente troyano, que a su vez libera otros archivos en el sistema, los que componen un servidor "VNC":
cygwin1.dll
explorer.exe
omnithread_rt.dll
VNCHooks.dll
INST.EXE (684,652 bytes), crea además los siguientes archivos:
C:\Windows\Fonts\rundll32.exe (el troyano propiamente dicho)
C:\Windows\Fonts\explorer.exe
C:\Windows\Fonts\omnithread_rt.dll
C:\Windows\Fonts\VNCHooks.dll
C:\Windows\System\cygwin1.dll
"C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).
El archivo EXPLORER.EXE, es originalmente WINVNC.EXE, el nombre original del servidor VNC, una herramienta legítima de administración. Los archivos .DLL (menos cygwin1.dll) son parte normal de ese servidor.
VNC (Virtual Network Computing), es un sistema legítimo (y gratuito) creado por la Universidad de Cambridge, que permite visualizar en forma remota el entorno de otra computadora conectada en red (a través de Internet, etc.), conectando entre si una gran variedad de arquitecturas diferentes.
El componente "backdoor", utiliza esta aplicación para acceder y controlar en forma remota el sistema. Para impedir ser identificado, el troyano oculta el icono de la herramienta de la bandeja del sistema, cuando ésta se ejecuta.
A través del uso malicioso de esta herramienta, un intruso puede tomar el control de los sistemas infectados.
El archivo CYGWIN1.DLL, es un emulador UNIX (Cygwin Posix Emulation DLL), que provee de funciones de interface API de UNIX al troyano.
Este archivo no contiene ningún código maligno, y es una herramienta legítima, usada maliciosamente por el troyano.
La configuración de la utilidad VNC se almacena en las siguientes claves (y subclaves):
HKEY_LOCAL_MACHINE\Software\ORL
HKEY_CURRENT_USER\Software\ORL
El troyano agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:
HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run
TaskMan = C:\Windows\Fonts\rundll32.exe
HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run
Explorer = C:\Windows\Fonts\explorer.exe
El gusano también libera otro componente backdoor para conectarse clandestinamente a servidores de IRC (de una lista de 13), RUNDLL32.EXE.
Este componente notifica al atacante que el sistema está pronto para permitir el acceso remoto, además de enviar la contraseña necesaria para conectarse al componente VNC. Para ello, selecciona un nickname de una lista e intenta conectarse a alguno de los siguientes servidores de IRC a través del puerto 6667:
cocket.bounceme.net
cocket.dyn.nicolas.cx
cocket.dynup.net
cocket.getmyip.com
cocket.gotdns.com
cocket.ma.cx
cocket.minidns.net
cocket.mooo.com
cocket.nailed.org
cocket.orgdns.org
cocket.phathookups.com
cocket.pokemonfan.org
cocket.staticcling.org
El nickname es seleccionado de esta lista:
boyzz
coked
fuck
garc
girli
kiwi
micha
mike
monic
moon
nikis
penis
poer
radi
rahim
rock
rosi
schen
serve
south
step
titi
trick
turu
uglyc
wolf
Los siguientes archivos están relacionados con el troyano:
- cygwin1.dll (944,968 bytes, es un archivo inocente)
- dvldr32.exe (745,984 bytes es el gusano)
- explorer.exe (212,992 bytes una aplicación VNC)
- inst.exe (684,562 bytes es el dropper del Backdoor)
- omnithread_rt.dll (57,344 bytes una aplicación VNC)
- psexec.exe (36,352 bytes, es una aplicación legítima
para lanzar procesos en forma remota)
- rundll32.exe (29,336 bytes, un Backdoor de IRC)
- VNCHooks.dll (32,768 bytes una aplicación VNC)
Sus principales características maliciosas son:
- Captura información de la configuración del servidor y de las estaciones de trabajo.
- Control de Acceso Remoto de los archivos y programas de los sistemas infectados.
- Puede ejecutar archivos o comandos en forma remota.
- Infecta y deshabilita los recursos "ocultos" compartidos de las redes.
Cuando se ejecuta, el troyano deshabilita los siguientes recursos compartidos que normalmente se hayan "ocultos":
admin$
ipc$
c$
d$
e$
f$
El gusano no funciona en sistemas Windows 95, 98 y Me, pero sin embargo, si puede propagarse por ellos.
Un síntoma de la presencia del gusano es un aumento del tráfico por el puerto TCP/445.
La gráfica (de www.dshield.org), muestra el
aumento de requerimientos para el puerto 445 (en amarillo) al
10 de marzo de 2003.
Aunque la mayoría de las máquinas corporativas protegen este puerto con cortafuegos y políticas de conexiones permitidas que lo bloquearían, existen algunos escenarios que pueden convertirse en un gran riesgo.
1. Máquinas conectadas a accesos directos a Internet (módem, etc.) fuera del ambiente corporativo, tanto en domicilios privados como durante viajes de negocio, que luego vuelven a la red corporativa.
2. Máquinas que utilizan conexiones VPN dentro de la red corporativa, pero que no están debidamente protegidas al conectarse a una conexión directa a Internet.
Pero lo más preocupante es que muchas computadoras domésticas tienen este puerto visible al mundo y son vulnerables si la cuenta local del administrador posee una contraseña débil.
Este tema ya lo advertíamos en nuestro sitio en agosto de 2001 (ver
http://www.vsantivirus.com/w2k-puerto445.htm). La llegada de Windows XP a un terreno en su mayoría doméstico, hizo masiva una opción que solo por casualidad los creadores de virus no habían explotado. En el transcurso de esta semana, este es quizás el tercero o cuarto gusano que se vale de estos recursos para propagarse, aunque tal vez sea hasta ahora el más elaborado.
Más sobre el puerto 445
Windows 2000 y XP, utilizan el puerto 445 para el intercambio de información entre computadoras conectadas en red a través del protocolo SMB (Server Message Block). Esta característica permite además el intercambio de archivos.
En Windows NT, esto corría sobre NBT (NetBIOS sobre TCP/IP), utilizando los ya conocidos puertos 137, 138 (UDP) y 139 (TCP).
En Windows 2000, Microsoft agrega la posibilidad de ejecutar el protocolo SMB directamente sobre TCP/IP (sin NetBIOS), eliminando toda la capa extra del
NBT. Para ello es que utiliza el puerto TCP/445.
Según Microsoft, las ventajas de esto es que se simplifica el tráfico SMB, se elimina WINS y NetBIOS simplificando la resolución de nombres, estandarización de esto último mediante DNS también para compartir archivos e impresoras, etc.
Si ambos sistemas están activos (puerto 445 y NBT), Windows prueba ambos métodos al mismo tiempo y utiliza el primero que responda. Esto permite que funcione adecuadamente aún en sistemas que no soportan tráfico vía SMB directo por el puerto 445.
Sin embargo, se han reportado vulnerabilidades en el puerto 445 que permiten el acceso remoto a la computadora involucrada. Esto se debe a que Windows 2000 abre este puerto por defecto para permitir el intercambio de archivos con sistemas remotos.
Por este método, las entradas pueden realizarse sin impedimentos por autenticación, especialmente en aquellas computadoras que no utilizan contraseña (solo Enter), o con contraseñas débiles para acceder a la cuenta administrativa de esa PC.
El problema (confirmado por el propio Microsoft), es que Windows 2000 no requiere que el administrador ingrese una contraseña cuando se instala el software. Esto es lo que hace a la vulnerabilidad mucho más extendida.
Windows XP hereda el uso del puerto 445.
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Reparación manual
Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale la siguiente:
Dvldr32.exe
3. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas (no todas ellas pueden aparecer):
messnger
TaskMan
Explorer
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\ORL
8. Pinche en la carpeta "ORL" y bórrela.
9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\ORL
10. Pinche en la carpeta "ORL" y bórrela.
11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Borrar los archivos creados por el gusano.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
DVLDR32.EXE; INST.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione Todos los archivos y carpetas
3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente:
DVLDR32.EXE; INST.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Relacionados:
Win 2000 y el puerto 445, una invitación a los intrusos
http://www.vsantivirus.com/w2k-puerto445.htm
W32/Randon. Se aprovecha del puerto 445 para propagarse
http://www.vsantivirus.com/randon.htm
Actualizaciones:
11/mar/03 - Alias: Backdoor.Dvldr, Win32.Deloder Trojan
11/mar/03 - Alias: BKDR_DELODER.A, BackDoor.ARG
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|