|
VSantivirus No. 1139 Año 7, Miércoles 20 de agosto de 2003
VSantivirus No. 1141 Año 7, Viernes 22 de agosto de 2003
W32/Pandem.B. Asunto: "Microsoft Security Bulletin"
http://www.vsantivirus.com/pandem-b.htm
Nombre: W32/Pandem.B
Tipo: Gusano de Internet
Alias: W32/Squirm.A, W32.Squirm@mm, Squirm, Win32/Squirm.A, I-Worm.Squirm.A, W32.Pandem.B.Worm, Win32/Pandem.B, W32/Pandem-B
Fecha: 19/ago/03
Tamaño: 104,448 bytes
Plataforma: Windows 32-bit
Este gusano, escrito en Microsoft C++, está comprimido con la herramienta PEBundle. Se propaga a través del correo electrónico, simulando ser una actualización de Microsoft, y también a través de algunas utilidades de intercambio de archivos entre usuarios como KaZaA, Morpheus, eDonkey, Grokster, LimeWire, GNucleus, BearShare y también ICQ, además de otros (redes P2P). También lo hace a través de algunos canales de IRC.
Para propagarse por e-mail, envía un mensaje como el siguiente a todos los contactos seleccionados en la máquina infectada:
De: support@microsoft.com
Asunto: Microsoft Security Bulletin
Datos adjuntos: (uno de los siguientes)
patch.zip
patch_329390.exe
Texto:
Unchecked Buffer in Windows Explorer Could
Enable System Compromise (329390)
Summary
Who should read this bulletin: Customers using
Microsoft Windows 95,98,2K,ME,XP
Impact of vulnerability: Run code of an
attacker's choice
Maximum Severity Rating: Critical
Recommendation: Customers using Microsoft Windows
95,98,2K,ME,XP should apply the patch immediately.
Si el gusano se ejecuta en la máquina infectada, se crea el siguiente archivo:
c:\windows\Zlib.dll
Se trata de una utilidad de compresión legítima, y no posee código maligno. Es utilizada por el gusano para crear su propia versión comprimida.
NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Muestra luego una ventana de diálogo con el siguiente texto:
Security Patch 329390
Patching system... Wait
[ OK ]
Si el usuario pincha en [OK], el gusano agrega las siguientes entradas al registro de Windows, la primera para autoejecutarse en cada reinicio, y la segunda para su propia configuración:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CPU Manager = c:\windows\cpumgr.exe
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
Type = High
Después de ello, crea los siguientes archivos:
c:\windows\cpumgr.dll
c:\windows\cpumgr.exe
c:\windows\pdmn.smt
c:\windows\photo.zip
Donde:
º CPUMGR.DLL es una copia codificada del gusano
º CPUMGR.EXE es el ejecutable
º PDMN.SMT contiene información sobre el sistema infectado
º PHOTO.ZIP es un archivo comprimido conteniendo una copia del gusano.
Después de ello, muestra otra ventana de diálogo, con este segundo mensaje:
Security Patch 329390
Patched. Thanks for using Microsoft Windows
[ OK ]
Al pincharse en el botón [OK], el gusano queda residente en memoria por cierto período de tiempo. Después de ello, el gusano procede a copiarse en algunas de las carpetas de intercambio de archivos entre usuarios P2P, con los siguientes nombres y ubicaciones:
c:\archivos de programa\
bearshare\shared\connection booster.exe
bearshare\shared\cracker game.exe
bearshare\shared\cracks collections.exe
bearshare\shared\credit card.exe
bearshare\shared\hacker.scr
bearshare\shared\hotmail hack.exe
bearshare\shared\icq hack.exe
bearshare\shared\matrix reloaded.scr
bearshare\shared\norton keygen-all vers.exe
bearshare\shared\serials collections.exe
bearshare\shared\simpsons.exe
bearshare\shared\xxx virtual sex.scr
direct connect\received files\connection booster.exe
direct connect\received files\cracker game.exe
direct connect\received files\cracks collections.exe
direct connect\received files\credit card.exe
direct connect\received files\hacker.scr
direct connect\received files\hotmail hack.exe
direct connect\received files\icq hack.exe
direct connect\received files\matrix reloaded.scr
direct connect\received files\norton keygen-all vers.exe
direct connect\received files\serials collections.exe
direct connect\received files\simpsons.exe
direct connect\received files\xxx virtual sex.scr
edonkey2000\incoming\connection booster.exe
edonkey2000\incoming\cracker game.exe
edonkey2000\incoming\cracks collections.exe
edonkey2000\incoming\credit card.exe
edonkey2000\incoming\hacker.scr
edonkey2000\incoming\hotmail hack.exe
edonkey2000\incoming\icq hack.exe
edonkey2000\incoming\matrix reloaded.scr
edonkey2000\incoming\norton keygen-all vers.exe
edonkey2000\incoming\serials collections.exe
edonkey2000\incoming\simpsons.exe
edonkey2000\incoming\xxx virtual sex.scr
gnucleus\downloads\connection booster.exe
gnucleus\downloads\cracker game.exe
gnucleus\downloads\cracks collections.exe
gnucleus\downloads\credit card.exe
gnucleus\downloads\hacker.scr
gnucleus\downloads\hotmail hack.exe
gnucleus\downloads\icq hack.exe
gnucleus\downloads\incoming\connection booster.exe
gnucleus\downloads\incoming\cracker game.exe
gnucleus\downloads\incoming\cracks collections.exe
gnucleus\downloads\incoming\credit card.exe
gnucleus\downloads\incoming\hacker.scr
gnucleus\downloads\incoming\hotmail hack.exe
gnucleus\downloads\incoming\icq hack.exe
gnucleus\downloads\incoming\matrix reloaded.scr
gnucleus\downloads\incoming\norton keygen-all vers.exe
gnucleus\downloads\incoming\serials collections.exe
gnucleus\downloads\incoming\simpsons.exe
gnucleus\downloads\incoming\xxx virtual sex.scr
gnucleus\downloads\matrix reloaded.scr
gnucleus\downloads\norton keygen-all vers.exe
gnucleus\downloads\serials collections.exe
gnucleus\downloads\simpsons.exe
gnucleus\downloads\xxx virtual sex.scr
grokster\my grokster\connection booster.exe
grokster\my grokster\cracker game.exe
grokster\my grokster\cracks collections.exe
grokster\my grokster\credit card.exe
grokster\my grokster\hacker.scr
grokster\my grokster\hotmail hack.exe
grokster\my grokster\icq hack.exe
grokster\my grokster\matrix reloaded.scr
grokster\my grokster\norton keygen-all vers.exe
grokster\my grokster\serials collections.exe
grokster\my grokster\simpsons.exe
grokster\my grokster\xxx virtual sex.scr
icq\shared files\connection booster.exe
icq\shared files\cracker game.exe
icq\shared files\cracks collecions.exe
icq\shared files\credit card.exe
icq\shared files\hacker.scr
icq\shared files\hotmail hack.exe
icq\shared files\icq hack.exe
icq\shared files\matrix reloaded.scr
icq\shared files\norton keygen-all vers.exe
icq\shared files\serials collections.exe
icq\shared files\simpsons.exe
icq\shared files\xxx virtual sex.scr
kazaa lite\my shared folder\connection booster.exe
kazaa lite\my shared folder\cracker game.exe
kazaa lite\my shared folder\cracks collections.exe
kazaa lite\my shared folder\credit card.exe
kazaa lite\my shared folder\hacker.scr
kazaa lite\my shared folder\hotmail hack.exe
kazaa lite\my shared folder\icq hack.exe
kazaa lite\my shared folder\matrix reloaded.scr
kazaa lite\my shared folder\norton keygen-all vers.exe
kazaa lite\my shared folder\serials collections.exe
kazaa lite\my shared folder\simpsons.exe
kazaa lite\my shared folder\xxx virtual sex.scr
kazaa\my shared folder\connection booster.exe
kazaa\my shared folder\cracker game.exe
kazaa\my shared folder\cracks collections.exe
kazaa\my shared folder\credit card.exe
kazaa\my shared folder\hacker.scr
kazaa\my shared folder\hotmail hack.exe
kazaa\my shared folder\icq hack.exe
kazaa\my shared folder\matrix reloaded.scr
kazaa\my shared folder\norton keygen-all vers.exe
kazaa\my shared folder\serials collections.exe
kazaa\my shared folder\simpsons.exe
kazaa\my shared folder\xxx virtual sex.scr
kmd\my shared folder\connection booster.exe
kmd\my shared folder\cracker game.exe
kmd\my shared folder\cracks collections.exe
kmd\my shared folder\credit card.exe
kmd\my shared folder\hacker.scr
kmd\my shared folder\hotmail hack.exe
kmd\my shared folder\icq hack.exe
kmd\my shared folder\matrix reloaded.scr
kmd\my shared folder\norton keygen-all vers.exe
kmd\my shared folder\serials collections.exe
kmd\my shared folder\simpsons.exe
kmd\my shared folder\xxx virtual sex.scr
limewire\shared\connection booster.exe
limewire\shared\cracker game.exe
limewire\shared\cracks collections.exe
limewire\shared\credit card.exe
limewire\shared\hacker.scr
limewire\shared\hotmail hack.exe
limewire\shared\icq hack.exe
limewire\shared\matrix reloaded.scr
limewire\shared\norton keygen-all vers.exe
limewire\shared\serials collections.exe
limewire\shared\simpsons.exe
limewire\shared\xxx virtual sex.scr
morpheus\my shared folder\connection booster.exe
morpheus\my shared folder\cracker game.exe
morpheus\my shared folder\cracks collections.exe
morpheus\my shared folder\credit card.exe
morpheus\my shared folder\hacker.scr
morpheus\my shared folder\hotmail hack.exe
morpheus\my shared folder\icq hack.exe
morpheus\my shared folder\matrix reloaded.scr
morpheus\my shared folder\norton keygen-all vers.exe
morpheus\my shared folder\serials collections.exe
morpheus\my shared folder\simpsons.exe
morpheus\my shared folder\xxx virtual sex.scr
Es capaz también de enviarse a usuarios de algunos canales de chat (IRC), utilizando DCC (Direct Client to Client). DCC es el protocolo de transferencia de archivos utilizado en el IRC, para el intercambio de datos entre computadoras a través de los comandos SEND y GET.
A través del IRC, utiliza la transferencia directa (DCC) a otros usuarios conectados al mismo canal de chat.
El gusano puede enviar una notificación de infección a un usuario remoto, y quedar a la escucha de una respuesta por el puerto 61282.
El gusano puede consumir una gran cantidad de recursos mientras se ejecuta, provocando una notoria perdida de rendimiento del sistema.
Finalmente, el gusano intentará conectarse al sitio www.google.com, para examinar su posibilidad de conexión a Internet. Si ella es posible, entonces el gusano comienza a enviarse en mensajes como el ya visto. Además, intentará enviar un mensaje a su autor.
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\cpumgr.dll
c:\windows\cpumgr.exe
c:\windows\pdmn.smt
c:\windows\photo.zip
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
CPU Manager
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
5. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Type
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
21/ago/03 - Alias: W32.Pandem.B.Worm
21/ago/03 - Renombrado como W32/Pandem.B (antes W32/Squirm.A)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|