VSantivirus No. 1286 Año 8, miércoles 14 de enero de 2004
W32/Nettrash.A. Gusano y caballo de Troya
http://www.vsantivirus.com/nettrash-a.htm
Nombre: W32/Nettrash.A
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: Nettrash, W32.HLLW.Nettrash, Backdoor.NetTrash, Backdoor/NetTrash.10.a
Fecha: 12/ene/04
Plataforma: Windows 32-bit
Tamaño: 61,952 bytes
Puertos: TCP/23005 y TCP/23006 (configurables)
Gusano escrito en Visual Basic. Posee un componente troyano de acceso remoto, que permite el control del equipo infectado. Se puede propagar por IRC, redes de intercambio de archivos P2P y correo electrónico vía Outlook y Outlook Express.
En este último caso, los mensajes poseen estas características:
Asunto: [uno de los siguientes]
angry at me??
Check this out!
Funny for you...
How are you??
Need help!
RE: Why you not replying??
We need to talk...!
What's happening???
What's the problem?
Why are you so
You need help?
Texto del mensaje: [uno de los siguientes]
I tried to reach you at MSN Messenger but you
weren't online! I got something important to
tell you!
You said you needed help huh? Well attached file
(You'll find what I wanted to tell you there!)
Ok. Reply as soon as possible!
Bye!
Where have you been all the time??? I tried to
call you but you weren't home! Anyway, see the
attached file! It's important! I got the solution
for your problem! Just open the attached file and
see what's in it ;)
I need your help! I'm in a very difficault position
right now. I can't decide how good the file is from
rate 0 To 5! I need your opinion on it, so check it
out (It's attached to this message!) and tell me
what you think from rate 0 To 5!
Why are you so angry at me? What have I done to
you?? I only want you to check this file out; It
describes my opinion about you. Please check it,
you won 't be dissapointed ;) Hope to hear from you
soon :)
Datos adjuntos: [uno de los siguientes con diferentes extensiones]
arabic sex
funny
information
interesting
nice song
nice_pic
readme
El adjunto utiliza alguna de estas extensiones:
.asp
.com
.doc
.htm
.jpg
.mp3
.mpg
.php
.txt
El troyano permite que un intruso pueda borrar o modificar archivos, o tomar el control de la computadora. También puede manejar la cantidad de memoria que deja disponible, pudiendo provocar una notoria disminución de la performance del sistema.
Las posibles acciones son las siguientes:
º Modificar configuración del ratón
º Captura de teclado (Key logging)
º Recolectar información del sistema
º Modificar configuración del teclado
º Deshabilitar el teclado
º Mostrar y/o ocultar la barra de tarea
º Mostrar y/o ocultar el escritorio
º Mostrar y/o ocultar el botón de Inicio
º Mostrar y/o ocultar bandeja del sistema y reloj
º Cambiar configuración de la pantalla
º Borrar, escribir o modificar archivos y carpetas
º Carga y descarga de archivos
º Bloquear el sistema
º Abrir o cerrar la bandeja del CD
º Emitir sonidos (beep)
º Imprimir archivos
º Indicar la cantidad de memoria disponible
º Desconectarse de Internet
º Reiniciar o apagar la computadora
º Propagarse por redes P2P, IRC y Outlook
Cuando se ejecuta un archivo infectado por primera vez, el gusano se copia en la carpeta de Windows:
c:\windows\[nombre original]
c:\windows\login.scr
Este último, con los atributos de oculto y solo lectura (+H, +R)
C:\WINDOWS es un nombre especificado literalmente en su código.
Agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
User32 = [nombre original]
[nombre original] = [nombre original]
Donde [nombre original] es el nombre y ubicación del archivo que provocó la infección.
Luego se registra para ejecutarse como un proceso llamado "User32".
También se copia en las siguientes ubicaciones para ejecutarse en cada reinicio:
C:\Windows\Start menu\Programs\startup
Esta cadena es literal, y no funciona en sistemas con otros nombres para la carpeta Windows, ni en las versiones de Windows diferentes a la original en inglés.
Modifica el archivo C:\WINDOWS\WIN.INI:
[windows]
run = [nombre original]
Modifica la siguiente entrada, para ejecutarse cada vez que se accede a un archivo .EXE:
HKCR\exefile\shell\open\command
(Predeterminado) = [nombre original] "%1" %*
Estos cambios se producen solo si existe en el sistema una carpeta C:\WINDOWS.
Para propagarse por redes P2P, se copia en la siguiente carpeta por defecto del KaZaa (si existe):
C:\Program Files\KaZaA\My Shared Folder
Utiliza los siguientes nombres:
Bin Laden funny flash.exe
Black Jack.exe
counter strike keygen.exe
Dcom microsoft patch.exe
full casino games.exe
half life keygen.exe
hl + cs key generator.exe
Madona sex game.exe
Msblast Fix.exe
Msblast Remover.exe
msn bomber.exe
pockemon sex.exe
Busca las carpetas C:\mIRC o C:\mIRC32, y agrega o sobrescribe el siguiente archivo, con los atributos de oculto (+H):
script.ini
Con este script, se propagará a otros usuarios del IRC, conectados al servidor befown.dynu.com
Finalmente, intentará enviar mensajes electrónicos como los descriptos al principio, a contactos obtenidos de la libreta de direcciones del Outlook u Outlook Express, dependiendo de cualquier de los dos programas para su propagación.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Antivirus (preparación)
1. Actualice sus antivirus con las últimas definiciones
2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Renombre REGEDIT.EXE como REGEDIT.COM
Debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
En Windows 2000 y XP, cambie COMMAND por CMD.
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) = [nombre del gusano] "%1" %*
5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del gusano y dejar solo lo siguiente (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):
(Predeterminado) = "%1" %*
6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
User32 = [nombre original]
[nombre original] = [nombre original]
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
10. Borre los archivos detectados como infectados por el virus.
Modificar WIN.INI
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
Todos:
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo.
Por ejemplo:
[windows]
run = [nombre original]
Debe quedar como:
[windows]
run =
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|