|
VSantivirus No. 1117 Año 7, Martes 29 de julio de 2003
W32/Tzet.A. Se propaga por Windows XP, 2000 y NT
http://www.vsantivirus.com/tzet-a.htm
Nombre: W32/Tzet.A
Tipo: Gusano de Internet
Alias: W32.Tzet.Worm, Win32/Tzet.A
Fecha: 28/jul/03
Plataforma: Windows 32-bit
Tamaños: varios
Este gusano se propaga por recursos compartidos con contraseñas débiles (cuando se instala el sistema operativo con las contraseñas por defecto o solo Enter por ejemplo). Esto solo ocurre en Windows NT, 2000 y XP. El gusano no se propaga en Windows 95, 98 o Me.
Contiene un componente troyano de acceso remoto, que le permite a un atacante reenviar su ruteo de red a través del equipo infectado.
Cuando el gusano se ejecuta en una computadora infectada, se crean los siguientes archivos en la carpeta SYSTEM de Windows ("C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003):
authexec.bat
iglmtray.exe
iglxtray.exe
lrss.ini
mdde32.exe
net.bat
nna.exe
printf_core.exe
vidriv.exe
wmpt.exe
wsubsys.wav
xcopy.dll
Modifica el registro de Windows para ejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WUPD = c:\windows\system32\iglmtray.exe
Luego, intenta infectar al azar, otras computadoras que compartan sus recursos en Internet, cuyas contraseñas sean débiles o por defecto, sobre todo cuentas administrativas.
Para esto utiliza un archivo de proceso por lotes (.BAT) y una utilidad legal de Sysinternals, para realizar la copia
de si mismo y luego su ejecución en el equipo remoto.
Las siguientes son las cuentas atacadas:
admin
Administrador
Administrateur
Administrator
cs
database
guest
network
root
sql
sqladmin
sqlagent
student
teacher
test
user
wwwadmin
wwwroot
Para ello, utiliza la siguiente lista de contraseñas predefinidas, además de otras combinaciones:
[Solo Enter]
[nombre de la cuenta]
password
123
1234
12345
123456
1234567
12345678
123456789
También se registra en canales de IRC para avisar al atacante de su presencia en la máquina infectada. La conexión es intentada con los siguientes servidores IRC:
cms.tmclan.net:7648
lms.tmclan.net:7648
rms.tmclan.net:7648
Una vez que la conexión se establece, el gusano se une al canal #º-scan-º# con la contraseña !(sc4n)!. Esto podría ser modificado.
El componente troyano permite a un intruso tomar el control de la máquina infectada, reenviar todo el tráfico HTTP a través de dicho equipo, robar los archivos de registro de populares juegos, si estos están instalados en la computadora infectada, y lanzar ataques de denegación de servicio (DoS).
Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano.
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Finalizando el proceso del virus en memoria
Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria:
a. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale la siguiente:
IGLMTRAY.EXE
3. Seleccione el botón de finalizar tarea en la lengüeta Procesos.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\authexec.bat
c:\windows\system32\iglmtray.exe
c:\windows\system32\iglxtray.exe
c:\windows\system32\lrss.ini
c:\windows\system32\mdde32.exe
c:\windows\system32\net.bat
c:\windows\system32\nna.exe
c:\windows\system32\printf_core.exe
c:\windows\system32\vidriv.exe
c:\windows\system32\wmpt.exe
c:\windows\system32\wsubsys.wav
c:\windows\system32\xcopy.dll
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
WUPD
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|