|
VSantivirus No. 1046 Año 7, Lunes 19 de mayo de 2003
W32/Sobig.B (Palyh.A, Mankx). De: "support@microsoft.com"
http://www.vsantivirus.com/sobig-b.htm
Nombre: W32/Sobig.B
Tipo: Gusano de Internet
Alias:
I.worm.Palyh@mm
I-Worm.Palyh
PALYH
Palyh
W32.HLLM.Ccn
W32.HLLW.Mankx@mm
W32.HLLW.Manx@mm
W32/Emesache
W32/Mankx
W32/Palyh
W32/Palyh.A
W32/Palyh.A@mm
W32/Palyh@MM
W32/Palyh-A
Win32.HLLM.Reteras.2
Win32.Palyh.A
Win32.Sobig.B
Win32/Palyh.A
Win32/Palyh.A@mm
WORM_PALYH.A
Fecha: 18/may/03
Plataforma: Windows 32 bit
Tamaño: 52,898 bytes
Identificado al principio como Palyh (o Mankx), y ahora como Sobig.B dependiendo del fabricante de antivirus, se trata de un gusano que se propaga simulando ser un mensaje auténtico enviado por Microsoft (support@microsoft.com).
En VSAntivirus.com lo hemos renombrado a Sobig.B por ser el nombre más común
para los diferentes fabricantes. Pero tenga en cuenta estas diferencias en los nombres del gusano, ya que depende del antivirus que utilice, o de la actualización de la base de datos respectiva.
Ha sido detectado el 18 de mayo, y su origen podría ser un país centroeuropeo, existiendo algunos enlaces en su código a sitios ubicados en Rumania. Los primeros reportes llegaron de la república checa y Eslovaquia, y la empresa MessageLabs, que procesa para sus clientes millones de mensajes filtrando códigos maliciosos y spam, dice haber recibido el primer mensaje infectado desde Holanda. Algunos elementos en el cabezal de los mensajes indican la zona de tiempo en GMT+2, lo que involucra a dichos países.
El Reino Unido y los Estados Unidos reportan la mayor cantidad de casos, y detrás de éstos, más de 70 países del resto del mundo, incluidos Europa y América. En VSAntivirus.com,
además de una importante cantidad de reportes de incidencias
con el virus, hemos recibido algunas muestras sin el adjunto, siendo
estas inofensivas. No sabemos si este comportamiento se debe a un error del gusano, o a algún otro tipo de limitaciones en su propagación en un idioma diferente.
Ello ocurre aproximadamente cada diez copias completas, con el
adjunto.
Como el Sobig, se presenta siempre como proveniente del mismo remitente, en este caso "support@microsoft.com". Esto puede ser un dato importante para bloquear dicho gusano, por medio de un filtro.
El gusano está compilado en Microsoft Visual C (MSVC) y comprimido con una versión modificada de la herramienta UPX, con la intención de dificultar su detección.
Cuando se ejecuta, se copia como "msccn32.exe" en la carpeta de Windows:
c:\windows\msccn32.exe
Crea un evento llamado "Mnkx.X" y aguarda si encuentra otro ejecutándose.
Cuando no hay un evento similar activo, lo crea e inicia 4 hilos diferentes. El primero simplemente finaliza su acción.
El segundo intenta descargar un archivo de alguno de los siguientes sitios (las páginas ya no están disponibles):
http://www.geocities.com/fjgoplsnjs/jane.txt
http://www.geocities.com/lfhcpsnfs/mdero.txt
http://www.geocities.com/dnggobhytc/nbvhf.txt
http://www.geocities.com/bntdfkghvq/nbdcf.txt
Dependiendo del contenido de los datos descargados, intentará descargar y ejecutar ciertos archivos desde otros enlaces, indicados en su código. Esto le permite actualizarse o ejecutar otra clase de malware (otro gusano, troyano, etc.). Este proceso lo intentará reiterar cada dos horas aproximadamente.
Uno de los archivos descargados intentará también conectarse a una página con contenido pornográfico.
El cuarto hilo intenta propagarse a través de recursos compartidos en redes, a otras computadoras.
Si la fecha actual es anterior a la indicada como 31-05-2003 (31 de mayo de 2003), cada 30 minutos el gusano enumera las carpetas compartidas en red, y si tiene los permisos, intentará copiarse en alguno de los siguientes directorios:
Documents and Settings\All Users\Start Menu\Programs\Startup\
Windows\All Users\Start Menu\Programs\StartUp\
Estas carpetas son las de inicio, por lo que las computadoras así infectadas, cargarán al gusano en memoria cuando las mismas sean reiniciadas. En las versiones en español de Windows, esto podría no cumplirse. En ocasiones, se copia en los directorios raíz o en la carpeta actual.
La fecha corresponde al tiempo local de cada máquina infectada.
El gusano busca archivos con las extensiones .TXT, .EML, .HTML, .HTM, .DBX y .WAB, en todos los discos duros, para extraer direcciones de correo a las que luego se
enviarán los mensajes infectados. Esas extensiones incluyen además de páginas Web en archivos temporales, las bases de mensajes y los mensajes del Outlook Express y la libreta de direcciones de Windows. Estas direcciones son guardadas en un archivo llamado "hnks.ini":
c:\windows\hnks.ini
También crea otro archivo .INI, para su uso interno:
c:\windows\mdbrr.ini
Para enviarse por correo, el gusano utiliza su propio motor SMTP, no dependiendo del cliente de correo instalado.
Los mensajes enviados poseen las siguientes características:
De: support@microsoft.com
Texto: All information is in the attached file.
Asunto: [seleccionado al azar de la siguiente lista]
- Approved (Ref: 38446-263)
- Cool screensaver
- Re: Approved (Ref: 3394-65467)
- Re: Movie
- Re: My application
- Re: My details
- Screensaver
- Your details
- Your password
Datos adjuntos: [seleccionado al azar de la siguiente lista]
- _approved.pif
- application.pif
- approved.pif
- doc_details.pif
- download1053122425102485703.uue
- movie28.pif
- password.pif
- ref-394755.pif
- screen_doc.pif
- screen_temp.pif
- your_details.pif
En ocasiones, los adjuntos carecen de la extensión completa (.PI en lugar de .PIF). En otras, no existe ningún adjunto, siendo en ambos casos, totalmente inofensivos al no poderse ejecutar.
Los archivos PIF (Windows Program Information), normalmente son archivos utilizados para almacenar información relacionada con la ejecución de los programas DOS, pero también pueden incluir código en formatos EXE, COM o BAT en su interior, el cuál puede ser ejecutado por el propio PIF. En este caso son .EXE renombrados como PIF. Para el sistema operativo esto no hace diferencia, y son ejecutados directamente si el usuario hace doble clic sobre ellos.
El gusano modifica el registro para autoejecutarse en la máquina infectada al reiniciarse ésta:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = C:\Windows\msccn32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = C:\Windows\msccn32.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
CUIDADO!: No confundir la entrada "System Tray" (separado), con "SystemTray" todo junto, que es una entrada legítima de Windows.
Herramientas para quitar el W32/Sobig.B de un sistema infectado
BitDefender
Descargue la utilidad "AntiSobig-es.exe" (57 Kb) y ejecútela en su sistema:
http://www.bitdefender.com/descarga/evaluacion/AntiSobig-es.exe
Copyright (C) BitDefender 2003.
Panda
Descargue "Pqremove.com" de este enlace (1.2Mb) y ejecútelo en su sistema:
http://updates.pandasoftware.com/pq/gen/palyh/pqremove.com
Copyright (C) Panda Software 2003.
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar los archivos creados por el gusano.
En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
msccn32.exe; hnks.ini; mdbrr.ini
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione Todos los archivos y carpetas
3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente:
msccn32.exe; hnks.ini; mdbrr.ini
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
System Tray
CUIDADO!: No confunda con "SystemTray" (todo junto), que es una entrada legítima de Windows.
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
System Tray
CUIDADO!: No confunda con "SystemTray" (todo junto), que es una entrada legítima de Windows.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
20/may/03 - Alias: Win32.HLLM.Reteras.2
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|