|
VSantivirus No. 1063 Año 7, Jueves 5 de junio de 2003
BAT/Mumu.A. Se propaga a través de recursos Ipc$ Y Admin$
http://www.vsantivirus.com/mumu-a.htm
Nombre: BAT/Mumu.A
Tipo: Gusano de Internet (MS-DOS Batch File)
Alias: W32/Mumu.A, Win32/Mumu.A, Muma, Bat/Mumu-A, Worm.Win32.Muma, BAT.Muma, Bat/Mumu.worm, BAT.Mumu.A.Worm, BAT_SPYBOT.A, HackTool.Win32.Hucline
Relacionados: Troj/Hacline-A, HackTool.Win32.Hucline, VirTool.Win32.Hucline.A, IPCScan, Hacktool.Win32.Hucline, Hacktool.Hacline, TROJ_HACLINE.A
Este gusano se propaga copiándose a través de recursos compartidos IPC$ y ADMIN$ de computadoras remotas con contraseñas débiles (utiliza una lista de contraseñas predefinidas).
El gusano genera varios archivos .BAT, los que copia a través de dichos recursos:
10.BAT
HACK.BAT
IPC.BAT
MUMA.BAT
NEAR.BAT
RANDOM.BAT
REPLACE.BAT
START.BAT
El gusano también puede contener los siguientes archivos:
A.LOG
HFIND.EXE
IPCPASS.TXT
NTSERVICE.BAT
NTSERVICE.EXE
NTSERVICE.INI
NWIZ_.EXE
NWIZ.IN_
PCMSG.DLL
SPACE.TXT
SS.BAT
TIHUAN.TXT
Una vez cargado, el archivo 10.BAT ejecuta al archivo HFIND.EXE, detectado como el troyano Troj/Hacline-A por algunos antivirus. Este troyano es utilizado para escanear direcciones IP de potenciales víctimas. El troyano utiliza el archivo IPCPASS.TXT, que contiene una lista de contraseñas utilizada para acceder a los recursos compartidos a los que intentará copiarse.
Luego ejecuta a IPC.BAT en un bucle, propagando el archivo HACK.BAT por todas las computadoras detectadas. Este último BAT continúa la ejecución de los demás .BAT para propagar el gusano por todos los recursos compartidos (se copia en la carpeta System de cada computadora accedida). Para ello utiliza también los archivos NTSERVICE.BAT y NTSERVICE.EXE, y el resto de los componentes indicados.
El gusano copia también otros archivos que no contienen códigos maliciosos.
NWIZ.EXE (Utilidad de video llamada NView)
NWIZ.IN_ (Configuración de NView)
PSEXEC.EXE (Herramienta para acceso a redes)
REP.EXE (Utilidad para manejo de texto)
PCMSG.DLL (Utilidad legítima para almacenar lo tecleado)
Cuando el gusano copia todos sus archivos a través de los recursos compartidos usando la herramienta PSEXEC, ejecuta el archivo START.BAT en la computadora remota, lo que inicia el mismo proceso nuevamente.
Reparación manual
Ver más información aquí:
W32/Mumu.C. Se propaga a través de recursos compartidos
http://www.vsantivirus.com/mumu-c.htm
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
27/jun/03 - Alias: W32/Mumu.A, Win32/Mumu.A
27/jun/03 - Enlace a la descripción de W32/Mumu.C
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|