|
VSantivirus No. 1388 Año 8, sábado 24 de abril de 2004
W32/Gbot.A. Se propaga por redes y backdoor del Mydoom
http://www.vsantivirus.com/gbot-a.htm
Nombre: W32/Gbot.A
Tipo: Gusano de Internet
Alias: W32/Gbot.worm
Fecha: 22/abr/04
Plataforma: Windows 32-bit
Tamaño: varios
Este gusano se propaga a través de redes, y también utilizando el acceso por puerta trasera dejado por el Mydoom en las máquinas infectadas previamente por dicho gusano.
También instala un acceso remoto del tipo backdoor.
Cuando se ejecuta, se copia en la carpeta System de Windows, con un nombre creado al azar:
c:\windows\system\[nombre al azar].exe
NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003.
Crea las siguientes entradas en el registro para ejecutarse automáticamente en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system\[nombre al azar].exe
Se copia en la carpeta "Mis documentos" con diferentes nombres tomados de la lista que se muestra a continuación, teniendo cada copia distintos tamaños (varían entre 6, 93 o 46 Kb):
aim_account_stealer_crack.exe
aim_account_stealer_full.exe
aim_account_stealer_iso_full.exe
aim_account_stealer_key_generator.exe
aim_account_stealer_patch.exe
cat_attacks_child_crack.exe
cat_attacks_child_full.exe
cat_attacks_child_iso_full.exe
cat_attacks_child_key_generator.exe
cat_attacks_child_patch.exe
cky3_bam_margera_world_industries_alien_workshop_crack.exe
cky3_bam_margera_world_industries_alien_workshop_full.exe
cky3_bam_margera_world_industries_alien_workshop_iso_full.exe
cky3_bam_margera_world_industries_alien_workshop_key_generator.exe
cky3_bam_margera_world_industries_alien_workshop_patch.exe
dsl_modem_uncapper_crack.exe
dsl_modem_uncapper_full.exe
dsl_modem_uncapper_iso_full.exe
dsl_modem_uncapper_key_generator.exe
dsl_modem_uncapper_patch.exe
hacking_tool_collection_crack.exe
hacking_tool_collection_full.exe
hacking_tool_collection_iso_full.exe
hacking_tool_collection_key_generator.exe
hacking_tool_collection_patch.exe
internet_and_computer_speed_booster_crack.exe
internet_and_computer_speed_booster_full.exe
internet_and_computer_speed_booster_iso_full.exe
internet_and_computer_speed_booster_key_generator.exe
internet_and_computer_speed_booster_patch.exe
macromedia_flash_5.0_crack.exe
macromedia_flash_5.0_full.exe
macromedia_flash_5.0_iso_full.exe
macromedia_flash_5.0_key_generator.exe
macromedia_flash_5.0_patch.exe
msn_password_hacker_and_stealer_crack.exe
msn_password_hacker_and_stealer_full.exe
msn_password_hacker_and_stealer_iso_full.exe
msn_password_hacker_and_stealer_key_generator.exe
msn_password_hacker_and_stealer_patch.exe
windows_xp_crack.exe
windows_xp_full.exe
windows_xp_iso_full.exe
windows_xp_key_generator.exe
windows_xp_patch.exe
zonealarm_firewall_crack.exe
zonealarm_firewall_full.exe
zonealarm_firewall_iso_full.exe
zonealarm_firewall_patch.exe
El gusano instala un componente de acceso, habilitando una puerta trasera por el puerto TCP/113 para recibir instrucciones de un usuario remoto. También se conecta a un canal de IRC por el puerto 6659.
Examina direcciones IP al azar buscando servicios NETBIOS-SSN y MICROSOFT-DS, para intentar conectarse al recurso compartido C$ de las máquinas encontradas.
En ocasiones, el gusano puede crear un archivo llamado !README.EXE en el directorio raíz de todas las unidades de disco locales y de red accesibles, y en la carpeta de inicio de Windows XP en inglés:
C:\Documents and Settings\All Users
\Start Menu\Programs\Startup\
También puede infectar computadoras previamente infectadas por el gusano MyDoom.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus.
4. Si posee una red, reitere estos pasos en cada computadora de la misma.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (el nombre puede ser obtenido al utilizar el antivirus antes):
[nombre al azar] = c:\windows\system\[nombre al azar].exe
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|