|
VSantivirus No. 1354 Año 8, domingo 21 de marzo de 2004
W32/Witty.A. Infecta equipos con BlackICE
http://www.vsantivirus.com/witty-a.htm
Nombre: W32/Witty.A
Tipo: Gusano de Internet (BlackICE)
Alias: Witty, WORM_WITTY.A, W32.Witty.Worm,
Plataforma: Windows 32-bit
Fecha: 20/mar/04
Tamaño: 1,025 bytes
Este gusano se ejecuta en memoria, y se propaga a través de sistemas que utilizan una versión vulnerable de BlackIce, utilizando el tráfico de red.
No hace uso del correo electrónico, ni se copia a si mismo en el sistema infectado. Tampoco modifica el registro, aunque puede realizar accesos directos al disco duro para grabar datos al azar.
Se aprovecha de una vulnerabilidad en el componente PAM (Protocol Analysis Module), compartido por todos los productos de ISS (Internet Security Systems), incluido BlackICE. Este protocolo facilita el análisis sintáctico de los protocolos de red para realizar comprobaciones adicionales y detección de ataques, entre ellos el protocolo de ICQ Instant Messaging.
Más información en el siguiente enlace:
Ejecución de código en productos ISS vía ICQ
http://www.vsantivirus.com/vul-iss-pam-icq.htm
El gusano se propaga a través de paquetes UDP enviados desde el puerto 4000, a otros puertos seleccionados al azar. En cada bucle, puede enviarse a si mismo a más de 20,000 máquinas remotas utilizando direcciones IP generadas al azar.
El gusano puede acceder físicamente al disco duro y realizar ciertas acciones, sin embargo, no se copia a si mismo en el disco, en ningún momento, actuando solo en la memoria. Debido a esto, un examen rutinario de archivos con un antivirus, no siempre será capaz de detectar una infección.
Cuando un paquete malicioso llega a una máquina vulnerable (que utilice BlackICE como cortafuegos), el gusano se ejecuta inmediatamente en memoria, y comienza a propagarse hacia otras víctimas.
El gusano escribe 64 KB del contenido actual de la memoria, directamente al disco duro
en forma totalmente aleatoria, sobrescribiendo cualquier clase de datos existentes en esos lugares. Luego, reinicia su propagación, en un bucle sin fin, que durará mientras pueda permanecer activo en memoria. Esto provoca que el contenido del disco duro pueda quedar corrupto. Este peligro es mayor mientras más tiempo permanezca activo el gusano. Algunas pruebas indican que luego de 10 minutos, una máquina puede sufrir tales daños en los archivos del sistema, que no podrá reiniciarse.
Los archivos dañados deberán ser reemplazados desde un respaldo, ya que son sobrescritos (no pueden ser reparados).
Está afectada la versión 3.6.ccf y anteriores de BlackICE.
Se sugiere bloquear los accesos de entrada y salida al puerto UDP/4000. Este puerto es utilizado por ICQ, y otros programas. El gusano puede utilizar también solicitudes a los puertos UDP 161 y 162, además de 53.
El código del gusano contiene el siguiente texto:
(^.^) insert witty message here (^.^)
ISS ha anunciado a sus clientes sobre la naturaleza destructiva de este gusano, al mismo tiempo que reitera que son vulnerables todos los usuarios de sus productos que no hayan actualizado los mismos.
Reparación manual
1. Descargue la actualización para BlackICE desde el sitio de ISS:
http://blackice.iss.net/update_center/index.php
2. Quite cualquier cable que conecte su PC a una red o a Internet.
3. Salga de Windows y apague su PC para borrar el gusano de la memoria.
4. Aguarde 30 segundos o más, y vuelva a encenderla.
5. Ejecute un scandisk completo de sus discos duros.
6. Aplique o instale la actualización descargada antes.
7. Conecte su PC a la red.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|