Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Warpigs.B. Usa recursos compartidos (Winupdate.exe)
 
VSantivirus No. 1101 Año 7, Domingo 13 de julio de 2003

 W32/Warpigs.B. Usa recursos compartidos (Winupdate.exe)
http://www.vsantivirus.com/warpigs-b.htm

Nombre: W32/Warpigs.B
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Warpigs.B, W32/Warpi.worm.b,  W32/Warpi.worm.gen, Win32/Warpi.B
Fecha: 9/jul/03
Plataforma: Windows 32-bit
Tamaño: 67,104 bytes

Este gusano es una variante del W32/Warpigs.A, que se propaga a través de computadoras con recursos compartidos y contraseñas débiles. La existencia del archivo WINUPDATE.EXE puede ser un indicador de una posible infección.

Posee características de troyano con posibilidad de acceso por puerta trasera al equipo infectado (backdoor). Para ello, se conecta a un servidor específico de IRC, y se une a un canal determinado para recibir instrucciones, usando por defecto los puertos 6666 y 6667.

A través de esta conexión, un atacante puede borrar archivos y ejecutar otras acciones en forma remota.

Cuando se ejecuta, se copia en el directorio del sistema de Windows:

c:\windows\system\Winupdate.exe

También copia una herramienta legítima (psexec de SysInternals), utilizada para ejecutar programas en equipos remotos:

c:\windows\system\Pgonwe.exe

NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).

PGONWE.EXE es utilizado por el gusano para copiarse (como WINUPDATE.EXE), y luego ejecutarse en otras computadoras, cuyas contraseñas administrativas sean débiles (por ejemplo, solo Enter). Esta es una lista de contraseñas que el gusano utiliza:

[Enter]
0000
00000
000000
academia
academic
accept
account
action
adam
adrian
adrianna
adult
aerobics
death
guessme
hacker
hax0r
kiddie
mirc
script
scriptkiddie
testing
uwontguessme
xxxx
xxxxx
xxxxxx
xxxxxxx
xxxxxxxx
xxxxxxxxx
youwontguessme

Modifica el registro para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windowsupdate = Winupdate.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
windowsupdate = Winupdate.exe

También crea la siguiente clave:

HKLM\SOFTWARE\Microsoft\windowsupdate

Esta información le sirve al gusano para conocer cuando se actualizó a si mismo.

Además modifica el contenido del archivo SYSTEM.INI para ejecutarse al iniciarse Windows:

[boot]
shell = explorer.exe Winupdate.exe

Finalmente se conecta a un servidor de mIRC específico para recibir instrucciones remotas como las siguientes:

  • Borrar o crear archivos y carpetas
  • Efectuar ataques de denegación de servicio (DoS)
  • Ejecutar programas en formas remota
  • Listar y/o terminar los procesos activos
  • Reiniciar la computadora


Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Remoción del troyano utilizando "Process Explorer"

Antes de eliminar este troyano, es necesario detener su ejecución en memoria. Puede usarse el administrador de tareas de Windows, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.

Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), el/los siguientes procesos:

Winupdate.exe


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\Winupdate.exe
c:\windows\system\Pgonwe.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

windowsupdate

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce

5. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

windowsupdate

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo SYSTEM.INI

1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Busque lo siguiente:

[boot]
shell = explorer.exe Winupdate.exe

y déjelo así:

[boot]
shell = explorer.exe

3. Grabe los cambios y salga del bloc de notas

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

16/jul/03 - Alias: W32/Warpi.worm.b,  W32/Warpi.worm.gen, Win32/Warpi.B



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS