|
VSantivirus No. 1228 Año 8, Lunes 17 de noviembre de 2003
W32/Lamin.B. Peligroso virus, gusano y caballo de Troya
http://www.vsantivirus.com/lamin-b.htm
Nombre: W32/Lamin.B
Tipo: Virus, gusano y caballo de Troya
Alias: W32.Lamin.B, Win32.LazyMin.31, PE_LAMIN.B
Fecha: 5/nov/03
Tamaño: 32,768 bytes (EXE), 31,964 bytes (DLL)
Plataforma: Windows 32-bit
Puertos: 6667, 14400
Este virus infecta archivos ejecutables en formato PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
Se trata además de un virus polimórfico, lo que significa que el virus está encriptado y cambia su encriptación con cada infección.
El virus puede replicarse a través de unidades de disco locales y compartidas en red.
También contiene un capturador de teclado (keystroke logger), y posee características de troyano controlable vía IRC. Las posibilidades de causar daño en el equipo infectado son muchas, y este es solo un resumen de las mismas:
- Captura todo lo ingresado por el teclado de la víctima
- Captura lo que muestra el monitor de la víctima
- Roba el contenido del portapapeles
- Obtiene información del sistema, incluidas contraseñas
- Envía información actual del sistema como dirección IP, etc.
- Instala un servidor FTP en la máquina infectada (puerto 14400 por defecto, pero puede ser cambiado por el atacante)
- Puede abrir o cerrar cualquier puerto seleccionado por el atacante
- Puede cerrar cualquier aplicación en ejecución
- Puede formatear el disco duro
- Puede reiniciar en cualquier momento el sistema
- Puede borrar la información almacenada en la CMOS (del inglés Complementary Metal-Oxide Semiconductor, semiconductor de óxido de metal complementario. Es una memoria RAM de 64 bytes encargada de almacenar los valores y ajustes de configuración de la BIOS, como discos duros, secuencia de inicio, puertos, hora y fecha, etc.).
- Puede descargar archivos desde una dirección de Internet al equipo infectado
- Puede ejecutar archivos seleccionados por el atacante en forma remota
- Lista todos los procesos activos
Cuando se ejecuta un archivo infectado, el virus crea un archivo DLL con nombre al azar en la carpeta de archivos temporales de Windows. Este DLL está encriptado en el cuerpo del virus, hasta que es liberado.
Luego utiliza a RUNDLL32.EXE (utilidad legítima de Windows que permite ejecutar un archivo DLL como una aplicación), para ejecutar dicho DLL. Al mismo tiempo continúa la ejecución normal del archivo infectado.
El virus registra el proceso de ejecución de dicho DLL como un servicio, creando la siguiente entrada en el registro de Windows:
HKEY_CLASSES_ROOT\CLSID
\{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}\InProcServer32
(Predeterminado) = "[nombre].dll"
ThreadingModel = "Apartment"
También agrega las siguientes entradas, donde almacena toda la información del servidor FTP instalado (puerto, tiempo de ejecución, etc.):
HKEY_LOCAL_MACHINE\Software\Microsoft\MSDN
"IDT"
"PSBAHMBS"
"Fprt"
"KSE"
"EkeyID"
Cuando se ejecuta el DLL mencionado, éste busca en todos los discos duros (locales y mapeados en red), en busca de archivos .EXE para infectar. Esta acción la reitera cada 5 minutos, aumentando en cada intento, la unidad examinada (de la C a la Z).
La infección se produce agregando su propio código encriptado al final del ejecutable. Luego modifica el header de dicho ejecutable, para que el punto de entrada (la dirección de ejecución), apunte al código del virus.
Cuando el virus se está ejecutando, el componente troyano con características backdoor (puerta trasera), intenta conectarse a un canal de IRC predeterminado, a través del puerto 6667. Utiliza para ello los siguientes servidores:
irc.dal.net
irc.arkhnet.com
irc.rtdptrx.es
powertech.no.eu.dal.net
Luego, queda a la espera de los comandos de un usuario remoto, quién podrá tomar el control del equipo infectado, llevando a cabo la lista de acciones ya descriptas (entre otras posibles).
Cuando intenta conectarse a los servidores de IRC, también intenta eludir la detección de algunos cortafuegos personales para no ser descubierto.
El virus puede funcionar en múltiples procesos en forma simultánea (multi-threaded). Esto puede disminuir el rendimiento del equipo infectado.
Mientras se está ejecutando, el virus intenta finalizar los siguientes procesos si estuvieran activos:
Regmon
Filemon
Ambas son utilidades de uso gratuito proporcionadas por SysInternals.com. Filemon monitorea y despliega la actividad de todos los archivos del sistema en tiempo real. Regmon hace lo mismo con el registro de Windows, mostrando cuando y como las aplicaciones acceden al mismo, que claves son leídas o modificadas, etc.
El virus también intenta borrar (una vez por segundo), los siguientes archivos, creados por algunas utilidades antivirus al intentar hacer una limpieza del propio virus (esto complica la correcta desinfección del equipo):
C:\avp_cure.bat
C:\Rar$DI01.903
Una característica de este virus, es que continúa activo aún cuando se inicie el equipo en modo seguro o a prueba de fallas. Incluso en Windows 95, 98 o Me, no es posible terminar su ejecución sin el uso de herramientas de terceros.
Reparación manual
Preparación
Debido a la naturaleza de este gusano, el procedimiento de limpieza requiere acciones especiales, y la ejecución de ciertos comandos desde una ventana MS-DOS. Para ello siga detalladamente los pasos siguientes.
Descarga de PROCEXP.EXE (en una computadora limpia)
Antes de eliminar este troyano, es necesario detener su ejecución en memoria. Puede usarse el administrador de tareas de Windows, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Nota: Se recomienda descargar este archivo en una computadora limpia, copiar PROCEXP.EXE en un disquete, proteger el mismo contra escritura, y luego ejecutarlo desde dicho disquete en la máquina infectada.
Iniciar ventana MS-DOS (en máquina infectada)
IMPORTANTE: Antes de continuar con los procedimientos siguientes, es muy importante que abra una sesión de MS-DOS. Para ello, en Windows 95, 98 o Me, seleccione Inicio, Ejecutar, escriba COMMAND y pulse Enter. En Windows NT, 2000 y XP, seleccione Inicio, Ejecutar, escriba CMD y pulse Enter. MANTENGA ESTA VENTANA ABIERTA EN LAS SIGUIENTES FASES DEL PROCEDIMIENTO DE LIMPIEZA, YA QUE NO PODRA ACCEDER A LAS OPCIONES NORMALES DE WINDOWS LUEGO DE FINALIZAR EL PROCESO "EXPLORER.EXE".
Remoción del troyano utilizando "Process Explorer"
Desde disquete, ejecute en la máquina infectada la herramienta PROCEXP.EXE descargada antes, tecleando desde la ventana MS-DOS abierta, lo siguiente:
A:\PROCEXP.EXE
Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), el/los siguientes procesos:
RunDLL32.exe
Explorer.exe
NOTA: Usuarios Windows 2000, XP, NT, se puede obviar lo anterior, y pulsar CTRL+SHIFT+ESC para abrir el Administrador de tareas de Windows. En la lengüeta "Procesos", señale los mencionados (RUNDLL32.EXE y EXPLORER.EXE), y seleccione el botón de finalizar tarea.
Editar el registro
1. Ejecute el editor de registro desde la ventana MS-DOS. Para ello escriba allí REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}
3. Pinche en la carpeta "{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}" y bórrela.
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\CLASSES
\CLSID
\{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}
5. Pinche en la carpeta "{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}" y bórrela.
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\MSDN
7. Pinche en la carpeta "MSDN" y bórrela.
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Reinicie EXPLORER.EXE
Para ello, escriba EXPLORER en la ventana MS-DOS abierta antes y pulse Enter
NO REINICIE SU COMPUTADORA
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|