Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Kromber.A. Se descarga desde una página, vía IRC
 
VSantivirus No. 1178 Año 7, Domingo 28 de setiembre de 2003

 W32/Kromber.A. Se descarga desde una página, vía IRC
http://www.vsantivirus.com/kromber-a.htm

Nombre: W32/Kromber.A
Tipo: Gusano de Internet (IRC)
Alias: Kromber, IRC-Worm.Kromber, W32/Kromber, TrojanDropper.VBS.Inor
Fecha: 27/set/03
Tamaño: 3,584 bytes
Reportado por: F-Secure, Kaspersky Labs

Este gusano se propaga a través de redes de IRC, por medio de un enlace a una página web que contiene un exploit con el que se ejecuta automáticamente un script.

El script libera y ejecuta el siguiente archivo en la computadora infectada:

C:\browsercheck.exe

La dirección del sitio web (que puede variar), es difundida en los canales de IRC con un formato como el siguiente:

http://[XXX]/[XXX]/show.php?f=drunkchicks.jpg

Donde [XXX] puede ser cualquier sitio o página.

Y el mensaje en el canal:

http://[XXX]/[XXX]/show.php?f=drunkchicks.jpg LOL

La dirección URL, contiene un archivo en formato HTML, que se aprovecha de una conocida vulnerabilidad en el Internet Explorer. Cuando el usuario hace clic o ingresa la dirección en el Internet Explorer, un script en Visual Basic Script es descargado desde una dirección como ésta:

http://[XXX]/[XXX]/drunkchicks.php

El script se ejecuta automáticamente, abriendo una ventana fuera del área del escritorio del usuario, en un intento de pasar inadvertida.

El código contiene varias cadenas, con listas de octetos separados por comas, que por medio de un simple descodificado, son escritas dentro del siguiente archivo:

C:\browsercheck.exe

Este ejecutable tiene 3,584 bytes, y utiliza la librería Dynamic Data Exchange Management, proporcionada por la interface API de Windows, para comunicarse con un cliente de IRC que se esté ejecutando en la computadora infectada. Esto podría funcionar solo con el mIRC.

Si la comunicación es exitosa, el gusano utiliza el cliente IRC para enviar comandos con los que puede realizar las siguientes acciones:

Enviar al canal la dirección de descarga, seguida del texto " LOL".

Intenta poner el tema del primer canal al que el usuario se unió, en el texto que contiene el URL del sitio de descarga.

Intenta poner el tema del segundo canal al que el usuario se unió, en el texto que contiene el URL del sitio de descarga.

Marca el nick del usuario como registrado.

El script VBS, creará el ejecutable en el sistema del usuario, y esa será la única modificación hecha en la computadora infectada. No se creará ni modificará ningún archivo para hacer que el gusano vuelva a ejecutarse al reiniciarse Windows. El archivo del gusano solo es ejecutado por el script descargado de la página web maliciosa, como se explicó antes.


Reparación manual

Antivirus

Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados.

Información adicional

El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS