Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: I-Worm.Fog. Ataques DDoS, borra REGEDIT, quita antivirus
 
VSantivirus No. 358 - Año 5 - Domingo 1 de julio de 2001

Nombre: I-Worm.Fog
Tipo: Gusano de Internet y Caballo de Troya
Fecha: jun/01
Tamaño: 180 Kb

Este gusano en formato Win32, posee habilidades de troyano de acceso remoto por la puerta trasera (backdoor), y puede utilizarse para participar de ataques del tipo DDoS (1).

Es un ejecutable en formato PE EXE, escrito en Delphi, de unos 180 Kb, comprimido con la utilidad UPX. Descomprimido, ocupa unos 500 Kb.

El gusano se envía a si mismo a otras computadoras, adjunto a mensajes como un archivo con el nombre de AntiVirus.exe, y es en esa forma que puede llegar a la nuestra:

Asunto: I think that you sent me a virus.. heres a cleaner

Texto:
I took my computer to the shop and they ran this, and told
me to send it to you.. hope this helps.

Archivo adjunto: AntiVirus.exe (180 Kb)

Para propagarse, utiliza rutinas MAPI (2) para conectarse a las aplicaciones de correo electrónico.

También se reporta a un canal de IRC
(3), en donde informa de su presencia junto a otros datos de la máquina infectada, de modo de permitir activar sus rutinas de troyano del tipo backdoor, y sus habilidades para producir ataques DDoS. Todo ello será administrado en forma remota por el atacante que controle el troyano luego de recibir esa información.

Cuando el gusano se activa, generalmente al hacer el usuario doble clic sobre el adjunto recibido vía e-mail, se despliega una ventana con el siguiente mensaje:

Explorer
 i reb00t
  [ OK ]

Cuando el botón de [OK] es pulsado, el gusano se copia a si mismo dentro de la carpeta del sistema de Windows (C:\Windows\System por defecto):

C:\Windows\System\AntiVirus.exe

También se copia en la carpeta de fuentes, con este nombre:

C:\Windows\Fonts\Times New Roman.exe

Para poder ejecutarse en cada reinicio de Windows, crea la siguiente clave en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows = C:\Windows\Fonts\Times New Roman.exe

Para propagarse, el gusano examina la bandeja de entrada en busca de todos los mensajes que contengan al menos un archivo adjunto, y los responde con un mensaje infectado con el archivo AntiVirus.exe, y con las demás características vistas anteriormente.

Para protegerse y hacer más difícil su detección y limpieza, el gusano borra los archivos NETSTAT.EXE y REGEDIT.EXE del directorio de Windows:

C:\Windows\NETSTAT.EXE
C:\Windows\REGEDIT.EXE

El primero es una implementación del comando Netstat de los protocolos TCP/IP, que permite mostrar estadísticas de estos protocolos y sus conexiones actuales, pudiendo ser usado para detectar la actividad de un troyano.

El segundo es el editor del registro de Windows, lo que impedirá la modificación del mismo.

El gusano también busca antivirus, así como otros procesos que estuvieran activos, e intenta finalizarlos.

Estos procesos son:

APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
IAMSERV.EXE
IAMAPP.EXE
PCFWallIcon.EXE
PRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
ZONEALARM.EXE
MINILOG.EXE
SAFEWEB.EXE
IFACE.EXE
ANTS.EXE
ANTI-TROJAN.EXE
BLACKICE.EXE
BLACKD.EXE
VSMON.EXE
WRCTRL.EXE
WRADMIN.EXE
CLEANER3.EXE
CLEANER.EXE
TCA.EXE
MOOLIVE.EXE
SPHINX.EXE

Esta lista incluye conocidos antivirus, y también cortafuegos como ZoneAlarm, etc.

El gusano posee en su código el siguiente texto:

[Fist Of God]
[Remote DDoS]
[v2.7b]


Como sacar el virus de un sistema infectado

Para eliminar el virus manualmente, siga estos pasos:

Primero ejecute un antivirus al día.

Luego intente recuperar la utilidad REGEDIT y NETSTAT del CD de Windows. Si es usuario de Windows 98, siga estos pasos (es necesario tener a mano el CD de Windows 98, o los archivos de instalación .CAB copiados en su disco duro):

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba:

REGEDIT.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

9. Repita los pasos 2 a 8 para extraer el siguiente archivo: 

NETSTAT.EXE

10. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

11. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices

12. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

Windows

13. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Sobre el registro de Windows

Se recomienda realizar una copia del registro cada vez que se pretenda modificarlo. Cambios incorrectos o errores, pueden ocasionar el bloqueo o imposibilidad de reiniciar Windows. Para ello, al entrar en REGEDIT, marque "Mi PC" en la ventana de la izquierda, y seleccione el menú "Registro", "Exportar archivo del registro". Guarde el archivo generado.

Para recuperar el registro, si puede ingresar a Windows, ejecute REGEDIT, seleccione "Registro", "Importar archivo del registro" y seleccione el archivo guardado antes.

Para restaurar el Registro desde MS-DOS.

1. Haga clic en Inicio y después haga clic en Apagar el sistema.

2. Haga clic en Reiniciar en modo MS-DOS y después en Aceptar (o pulse CTRL o F8 al reiniciar la computadora para entrar en el menú de inicio y seleccionar "Sólo símbolo del Sistema").

3. Escriba en la línea de comandos lo siguiente:

scanreg   /restore

4. Seleccione una versión del registro anterior a la actual, y reinicie su equipo.


Glosario:

(1) D.D.o.S (Distributed Denial of Service). Ataques de negación de servicio distribuidos. En lugar de una sola computadora, se utilizan cientos o hasta miles de ellas, todas actuando al mismo tiempo contra una misma víctima, un servidor o cualquier computadora conectada a Internet, la que recibe una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.

(2) MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.

(3) IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.


Fuente: Kaspersky Labs
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS