|
VSantivirus No. 1402 Año 8, sábado 8 de mayo de 2004
W32/Doomber.A. Utiliza equipos infectados con Mydoom
http://www.vsantivirus.com/doomber-a.htm
Nombre: W32/Doomber.A
Tipo: Gusano de Internet
Alias: Doomber, Win32/Gobot.A, W32/Gobot.A, Backdoor.Gobot.u, Exploit-Mydoom, Backdoor.Trojan, W32.Gobot.A, W32/Doomber-A
Plataforma: Windows 32-bit
Fecha: 6/may/04
Gusano que se propaga a través de computadoras que aún están infectadas con una de las variantes del W32/MyDoom, redes P2P, canales de IRC, y a través de recursos compartidos en red.
El gusano posee también un componente backdoor que abre una puerta trasera en el equipo infectado, por medio de la cual un atacante puede obtener acceso remoto a la misma, a través de canales de IRC (Internet Relay Chat).
Cuando se ejecuta por primera vez, el gusano crea el siguiente archivo:
c:\windows\[nombre al azar]
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Luego, para auto ejecutarse cada vez que se reinicie Windows, el gusano crea la siguiente entrada en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\[nombre al azar]
Al ejecutarse luego de esos cambios, busca otras computadoras conectadas a Internet, que posean activa aún la puerta trasera instalada por el gusano Mydoom. Si las encuentra, se envía a cada una de ellas, y luego se ejecuta a si mismo en aquellas.
También intenta conectarse al recurso compartido C$ de todas las unidades de red locales, y se copia a si mismo en la carpeta de inicio por defecto:
C:\Documents and Settings\All Users
\Menú inicio\Programas\Inicio\!ReadMe.exe
Luego se copia a si mismo a las carpetas compartidas por defecto de las utilidades P2P:
Edonkey
Kazaa
LimeWire
Morpheus
ShareAza
XoloX
Utiliza para ello alguno de los siguientes nombres:
AIM_Account_Stealer_Crack.exe
AIM_Account_Stealer_Crack.exe
AIM_Account_Stealer_Full.exe
AIM_Account_Stealer_Full.exe
AIM_Account_Stealer_ISO_Full.exe
AIM_Account_Stealer_Key_Generator.exe
AIM_Account_Stealer_Patch.exe
AIM_Account_Stealer_Patch.exe
Cat_Attacks_Child_Crack.exe
Cat_Attacks_Child_Full.exe
Cat_Attacks_Child_ISO_Full.exe
Cat_Attacks_Child_ISO_Full.exe
Cat_Attacks_Child_Key_Generator.exe
Cat_Attacks_Child_Key_Generator.exe
Cat_Attacks_Child_Patch.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe
DSL_Modem_Uncapper_Crack.exe
DSL_Modem_Uncapper_Crack.exe
DSL_Modem_Uncapper_Full.exe
DSL_Modem_Uncapper_Full.exe
DSL_Modem_Uncapper_ISO_Full.exe
DSL_Modem_Uncapper_ISO_Full.exe
DSL_Modem_Uncapper_Key_Generator.exe
DSL_Modem_Uncapper_Patch.exe
Hacking_Tool_Collection_Crack.exe
Hacking_Tool_Collection_Crack.exe
Hacking_Tool_Collection_Full.exe
Hacking_Tool_Collection_ISO_Full.exe
Hacking_Tool_Collection_Key_Generator.exe
Hacking_Tool_Collection_Patch.exe
Hacking_Tool_Collection_Patch.exe
Internet_and_Computer_Speed_Booster_Crack.exe
Internet_and_Computer_Speed_Booster_Crack.exe
Internet_and_Computer_Speed_Booster_Full.exe
Internet_and_Computer_Speed_Booster_ISO_Full.exe
Internet_and_Computer_Speed_Booster_Key_Generator.exe
Internet_and_Computer_Speed_Booster_Patch.exe
Macromedia_Flash_5.0_Crack.exe
Macromedia_Flash_5.0_Full.exe
Macromedia_Flash_5.0_ISO_Full.exe
Macromedia_Flash_5.0_ISO_Full.exe
Macromedia_Flash_5.0_Key_Generator.exe
Macromedia_Flash_5.0_Key_Generator.exe
Macromedia_Flash_5.0_Patch.exe
MSN_Password_Hacker_and_Stealer_Crack.exe
MSN_Password_Hacker_and_Stealer_Full.exe
MSN_Password_Hacker_and_Stealer_Full.exe
MSN_Password_Hacker_and_Stealer_ISO_Full.exe
MSN_Password_Hacker_and_Stealer_Key_Generator.exe
MSN_Password_Hacker_and_Stealer_Patch.exe
Windows_XP_Crack.exe
Windows_XP_Crack.exe
Windows_XP_Full.exe
Windows_XP_Full.exe
Windows_XP_ISO_Full.exe
Windows_XP_Key_Generator.exe
Windows_XP_Key_Generator.exe
Windows_XP_Patch.exe
ZoneAlarm_Firewall_Crack.exe
ZoneAlarm_Firewall_Full.exe
ZoneAlarm_Firewall_ISO_Full.exe
ZoneAlarm_Firewall_Patch.exe
ZoneAlarm_Firewall_Patch.exe
Puede agregarse (infectar) a todos los archivos .EXE existentes en las carpetas vistas antes.
Se conecta a un servidor IRC predeterminado y queda a la espera de diversos comandos por parte de un usuario remoto, entre ellos:
- Cerrar cualquier proceso que esté en ejecución.
- Ejecutar cualquier comando en la máquina.
- Obtener direcciones de correo electrónico.
- Obtener el número de activación de Windows (Product ID)
- Obtener información del registro.
- Obtener información del tráfico HTTP, FTP e IRC.
- Obtener listas de contactos que usen un servicio HTTP.
- Obtener números de activación de varios videojuegos.
- Realizar ataques con paquetes HTTP, ICMP, SYN y UDP.
- Reiniciar el sistema.
- Revisar archivos desde un FTP o HTTP.
- Terminar alguno de los servicios de Windows.
El gusano también intenta finalizar el proceso activo de conocidos antivirus y aplicaciones de seguridad.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Tome nota de los nombres y luego borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
1. Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\[nombre al azar]
Donde [nombre al azar] debe ser obtenido en pasos previos (limpieza con antivirus).
2. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
[nombre al azar] = c:\windows\[nombre al azar]
Donde [nombre al azar] debe ser obtenido en pasos previos (limpieza con antivirus).
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|