|
VSantivirus No. 1096 Año 7, Martes 8 de julio de 2003
W32/Graps.A. Puede usar la computadora como proxie
http://www.vsantivirus.com/graps-a.htm
Nombre: W32/Graps.A
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Graps, W32/Graps.worm, Win32/Graps.A
Fecha: 7/jul/03
Plataforma: Windows 32-bit
Tamaño: 53,248 bytes
Gusano escrito en Visual Basic y comprimido con la utilidad UPX, que se propaga por recursos compartidos en redes, que además posee capacidades de caballo de Troya de acceso vía backdoor.
Por defecto abre el puerto TCP/45836 para conectarse con un atacante remoto.
Cuando se ejecuta, se copia a si mismo a todos los recursos de red accesibles que usen contraseñas débiles (por ejemplo, Windows XP instalado con solo Enter como contraseña de administrador). Utiliza los recursos Admin$ e IPC$.
Compromete la seguridad del usuario infectado, al permitir el acceso remoto.
Para autoejecutarse en cada reinicio, modifica la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Management Instrumentation = [camino]\mwd.exe
También crea en la carpeta donde se ejecutó el gusano, los siguientes archivos:
wds.bat
wds3.bat
wds2.bat
Estos archivos de procesos por lotes (batch files), contienen las instrucciones para conectarse a los recursos administrativos de los recursos de red enumerados, copiando los siguientes archivos dentro de la siguiente carpeta:
\\[recurso compartido]\Admin$\system32\mwd.exe
\\[recurso compartido]\Admin$\system32\psexec.exe
\\[recurso compartido]\Admin$\system32\mswinsk.ocx
El primero (mwd.exe), es una copia del gusano, los otros son archivos que no contienen código malicioso alguno.
Luego ejecuta la utilidad Psexec.exe (una herramienta legítima también copiada por el gusano), para ejecutarse en el recurso remoto.
Para intentar conectarse a los recursos IPC$ y ADMIN$, utiliza una serie preestablecida de nombres y contraseñas incluida en su código.
También abre el puerto de comunicaciones TCP/45836 y queda a la espera de comandos de un usuario remoto, que podrá ejecutar alguna de estas acciones:
- Obtener información del sistema infectado
- Lanzar ataques de denegación de servicio a blancos predefinidos
- Descargar y ejecutar archivos
- Instalar proxies SMTP, IRC, y HTTP
Esta última acción permite que el atacante pueda enviar SPAM en forma anónima (el "culpable" será el usuario infectado, que podría ser culpado de envío de correo basura), utilizarlo como cliente de IRC, o usar la computadora infectada para navegar en forma anónima (los registros apuntarían al usuario infectado).
El sistema infectado intentará conectarse a las siguientes direcciones:
frozenhighlands.skiebus.com
frozenhighlands.rock-slides.com
jjljsmlmjo.no-ip.com
llqrlmspmm.dyndns.org
qplfdempqo.dyndns.org
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Deshabilitar recursos ocultos en Windows NT, 2000 y XP
Se sugiere eliminar los recursos compartidos ocultos, como C$, D$ (etc.), además de IPC$ y ADMIN$, para prevenir la propagación de gusanos como éste.
Los siguientes comandos pueden implementarse en un archivo .BAT o script, y ejecutarse desde la carpeta de inicio:
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share ipc$ /delete
net share admin$ /delete
Si su computadora es parte de una red corporativa, consulte con su administrador.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows Management Instrumentation
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|