• Herramientas para quitar el W32/Sobig de un sistema infectado

23/abr/03 - Se ha detectado un aumento de incidencias de este virus, reportado por primera vez en enero de 2003. Durante cierto periodo de tiempo, la página en www.geocities.com de la que el gusano intenta descargar un archivo, fue actualizada y estuvo activa. La página apuntaba a otro sitio desde donde era posible descargar un troyano detectado como Backdoor.Delf.da.

Actualmente dicha página ha sido nuevamente desactivada, pero el riesgo de infección sigue vigente.

Este gusano, escrito en MSVC (MS Visual C++) y comprimido con la utilidad tElock (una herramienta clandestina), se propaga a través de recursos compartidos y correo electrónico. Posee su propia máquina SMTP, por lo que no depende de ningún cliente de correo para enviarse desde una máquina infectada.

La lista de destinatarios (sus próximas víctimas), es tomada del contenido de archivos con las siguientes extensiones:

.txt
.eml
.html
.htm
.dbx
.wab

Los archivos .WAB corresponden a la libreta de direcciones de Windows (Windows Address Book).

El mensaje que se propaga, siempre figura como enviado desde la siguiente dirección electrónica falsa: "big@boss.com".

Puede tener alguno de los siguientes Asuntos:

Re: Movies
Re: Sample
Re: Document
Re: Here is that sample

El archivo adjunto (de 65,536 bytes), puede tener uno de estos nombres:

Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

El cuerpo del mensaje tiene solo este texto:

Attached file:

El gusano intenta copiarse a los siguientes directorios, en todas las unidades locales y de red con los permisos de lectura/escritura respectivos:

\Windows\All Users\Start Menu\Programs\StartUp
\Documents and Settings\All Users\Start Menu\Programs\Startup

El gusano envía un mensaje a un beeper, conectándose a una dirección en pagers.icq.com, antes de enviar los mensajes infectados.

El gusano se copia a la siguiente ubicación:

C:\Windows\Winmgm32.exe

Y también crea los siguientes archivos:

C:\Windows\Sntmls.dat
C:\Windows\Dwn.dat

Luego, crea un proceso en memoria con el archivo "C:\Windows\Winmgm32.exe", y lo inicializa, con lo cuál logrará realizar las siguientes tareas:

1. Crea un Mutex con el nombre "Worm.X" (un "mutex" es una marca para impedir se vuelva a ejecutar el mismo proceso, en este caso, la ejecución en otro hilo del propio gusano).

2. Crea un hilo para enviar el mensaje al beeper en la dirección pagers.icq.com

3. Crea un hilo para descargar un archivo de texto de una página en www.geocities.com, el cuál ya fue retirado.

Este texto tendría la dirección para descargar otro archivo y ejecutarlo en la máquina infectada (http://www.doesnotexist.com/blah.txt, aunque no es un archivo de texto).

En principio, este archivo era grabado con el nombre de "dwn.dat" en el directorio de Windows. En las versiones examinadas, se trata de una variante del troyano "Zasil" (ver "Troj/Zasil. Muestra una imagen pornográfica", http://www.vsantivirus.com/zasil.htm).

4. Crea un hilo para buscar en toda la red recursos compartidos a los que pueda copiarse, y se copia en ellos cómo vimos al principio.

5. Crea un hilo para enviar mensajes infectados a todas las direcciones de correo recolectadas de archivos cuyas extensiones ya mencionamos.

El gusano también crea las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema (solo se crea la segunda si ya existe la rama respectiva):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsMGM = C:\Windows\Winmgm32.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsMGM = C:\Windows\Winmgm32.exe

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).



Herramientas para quitar el W32/Sobig.A de un sistema infectado

Symantec
Descargue y ejecute la utilidad FixSobig.exe (164 Kb) desde este enlace y ejecútelo en su sistema:
(*) FixSobig es Copyright (C) Symantec 2003.


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\Winmgm32.exe
C:\Windows\Sntmls.dat
C:\Windows\Dwn.dat

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WindowsMGM

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama (puede no existir):

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

WindowsMGM

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

20/may/03 - Alias: Win32.HLLM.Reteras




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com