|
VSantivirus No. 1155 Año 7, Viernes 5 de setiembre de 2003
W32/Raleka.C. Utiliza la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/raleka-c.htm
Nombre: W32/Raleka.C
Tipo: Gusano de Internet
Alias: Raleka.C, Worm.Win32.Raleka.C, W32/Raleka.C, W32/Raleka.C.worm, WORM_RALEKA.C, W32/Raleka.worm.C, Win32/Raleka.C
Fecha: 1/set/03
Plataforma: Windows 32-bit
Tamaño: 14,880 bytes
Este gusano, de origen español, se vale de la vulnerabilidad RPC/DCOM que también hizo posible la propagación de gusanos como el Lovsan (Blaster). Es idéntico a la
versión "A", salvo la dirección de actualización utilizada.
Cuando el gusano se ejecuta, intenta descargar sus archivos de un determinado sitio de Internet. Los archivos son:
ntrootkit.exe
ntrootkit.reg
svchost32.exe
Son copiados en la siguiente ubicación:
c:\windows\system32\ntrootkit.exe
c:\windows\system32\ntrootkit.reg
c:\windows\system32\svchost32.exe
SVCHOST32.EXE es una copia del gusano propiamente dicho, y los demás, son parte de una
herramienta identificada por algunos antivirus como NTRootkit o una variante. Más información:
NTRootkit. Peligrosa herramienta de "ocultamiento"
http://www.vsantivirus.com/ntrootkit.htm
Luego ejecuta a NTROOTKIT.EXE y procede a crear la siguiente entrada del registro, copiándola de NTROOTKIT.REG:
HKCU\Software\Microsoft\Windows NT\CurrentVersion
\AppCompatFlags\Layers\%systemroot%\system32
\ntrootkit.exe = WIN2000
El gusano utiliza su propio cliente IRC incorporado como parte de su código, para conectarse a alguno de los siguientes servidores de chat por el puerto 6667:
irc.aol.com
irc.banetele.no
irc.blessed.net
irc.chung.li
irc.csbnet.se
irc.daxnet.no
irc.desync.com
irc.homelien.no
irc.inet.tele.dk
irc.inter.net.il
irc.ipv6.homelien.no
irc.ircsoulz.net
irc.isdnet.fr
irc.isprime.com
irc.limelight.us
irc.mindspring.com
irc.mpls.ca
irc.nac.net
irc.prison.net
irc.red-latina.org
irc.secsup.org
irc.servercentral.net
linux.us.amiganet.org
Si tiene éxito, se conecta a un canal determinado (#atolondra0).
Una vez conectado, el gusano funciona como un IRC Bot (copia de un usuario en un canal de IRC, generado casi siempre por un programa, y preparado para responder ciertos comandos que se les envía en forma remota). De ese modo es capaz de ejecutar cualquiera de los siguientes comandos:
- Listar y matar procesos en memoria
- Obtener información del sistema
- Ejecutar un archivo
- Descargar un parche para Windows XP en español de la siguiente dirección:
http://download.microsoft.com/download/6/6/0/660dd9a5-c7b4-4d62-
9c1d-025b073c1c7b/WindowsXP-KB823980-x86-ESN.exe
El parche es para la versión en español únicamente (ese parece ser el origen del gusano).
El gusano también emite la orden para descargar los archivos SVCHOST32.EXE, NTROOTKIT.EXE y NTROOTKIT.REG, desde la computadora "atacante", en lugar de la dirección IP mencionada antes.
Finalmente, guarda la dirección IP de la víctima en el archivo RPCSS.INI de la máquina atacante:
c:\windows\system32\rpcss.ini
La carpeta "System32" se localiza en C:\Windows (Windows XP) o en C:\WinNT (Windows NT y 2000), por defecto.
El gusano escanea por el puerto TCP/135, en busca de máquinas vulnerables al desbordamiento de búfer en el protocolo RPC (vulnerabilidad RPC/DCOM explicado en el boletín MS03-026 de Microsoft). Las direcciones IP para la búsqueda, son generadas automáticamente.
Si encuentra máquinas vulnerables, ejecuta el exploit que le permite abrir un shell remoto (un SHELL es un intérprete de comandos que interpreta y activa los comandos o utilidades introducidos por el usuario). Desde el shell, construye y ejecuta un archivo llamado DOWN.COM, detectado como el troyano Troj/Ntrtkit.A (BKDR_NTRTKIT.A, Troj/RtKit-11, según cada fabricante de antivirus).
Ver:
Troj/Ntrtkit.A. Troyano liberado por W32/Raleka
http://www.vsantivirus.com/ntrtkit-a.htm
Aún cuando un antivirus detecte y elimine este gusano, mientras no se haya instalado el parche mencionado en dicho boletín, la computadora seguirá vulnerable al ataque de desbordamiento de búfer desde otras máquinas infectadas. Cuando estos paquetes son recibidos por cualquier sistema sin el parche, provocarán la caída del servicio RPC, sin necesidad de que el gusano esté presente o no en la máquina.
Aplicando el parche, se previene la falla en este servicio. El sistema debe ser reiniciado luego de su instalación.
IMPORTANTE
Además del procedimiento de limpieza referido a continuación, se deberá eliminar también el troyano creado por el gusano. Más información:
Troj/Ntrtkit.A. Troyano liberado por W32/Raleka
http://www.vsantivirus.com/ntrtkit-a.htm
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Detener el servicio
1. Desde Inicio, Ejecutar, escriba CMD y pulse Enter
2. En la línea de comandos, escriba lo siguiente más Enter:
NET STOP "Remote_Procedure_Call"
Un mensaje deberá indicarle que el servicio se ha detenido satisfactoriamente.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\ntrootkit.exe
c:\windows\system32\ntrootkit.reg
c:\windows\system32\rpcss.ini
c:\windows\system32\svchost32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSetServices
\svchost
3. Pinche en la carpeta "svchost" y bórrela.
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.
Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente (MS03-026) desde el siguiente enlace:
Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm
IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano.
Activar cortafuegos de Windows XP (Internet Conexión Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|