VSantivirus No. 1223 Año 8, Miércoles 12 de noviembre de 2003
W32/Xabot.A. Destructivo gusano. Se propaga por P2P, IRC
http://www.vsantivirus.com/xabot-a.htm
Nombre: W32/Xabot.A
Tipo: Gusano de Internet
Alias: Xabot, W32.Xabot.Worm
Fecha: 9/nov/03
Plataforma: Windows 32-bit
Tamaño: 220,634 bytes
Reportado por: Symantec
Este gusano se propaga por canales de IRC (Internet Relay Chat) y redes de intercambio de archivos entre usuarios (P2P).
Posee capacidades de caballo de Troya de acceso remoto, que le permite a un atacante tomar el control de la computadora infectada.
También realiza modificaciones en el registro, que comprometen la estabilidad y seguridad del sistema.
La existencia del archivo WININIT32.EXE podría indicar una posible infección.
Cuando se ejecuta, el gusano se copia con ese nombre en la siguiente ubicación:
c:\windows\system\wininit32.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
También se copia en las carpetas compartidas con otros usuarios, de las utilidades KaZaa, Morpheus, iMesh, eDonkey2000, LimWire, y en la carpeta de Windows "My Music folder", con los siguientes nombres:
Doom 3 NO CD Crack.exe
Half-Life 2 Keygen.exe
Half-Life 2 NO CD Crack.exe
Jedi Academy NO CD Crack.exe
Max Payne 2 NO CD Crack.exe
Medal Of Honor - Pacific Assault NO CD Crack.exe
Crea los siguientes valores en el registro:
HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporing
AllOrNone = "1"
IncludeKernelFaults = "1"
IncludeMicrosoftApps = "1"
IncludeWIndowsApps = "1"
ShowUI = "0"
DoReport = "0"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
SysInit = wininit32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SysInit = wininit32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
SysInit = wininit32.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
SysInit = wininit32.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SysInit = wininit32.exe
HKLM\SOFTWARE\Microsoft\Windows\Active Setup
\Installed Components\SysInit
StubPath = wininit32.exe
HKLM\SOFTWARE\Microsoft\Windows\Connect
LastMonth = [mes actual]
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegistryTools = "1"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion
\Policies\Explorer
DisallowRun = "1"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\DisallowRun
1 = lockdown.exe
2 = vsmain.exe
3 = msconfig.exe
4 = zonealarm.exe
5 = zapro.exe
6 = blackd.exe
7 = blackice.exe
8 = processmonitor.exe
9 = pmon.exe
10 = smc.exe
11 = generics.exe
12 = netstat.exe
13 = ethereal.exe
14 = sniffem.exe
15 = monitor.exe
16 = lockdown2000.exe
17 = webtrap.exe
18 = programauditor.exe
19 = sniffem.exe
20 = jammer.exe
21 = ldnetmon.exe
22 = safeweb.exe
23 = realmon.exe
24 = guw32.exe
25 = regmon.exe
26 = netmon.exe
27 = portmon.exe
28 = filemon.exe
29 = scan32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-
Borra de las entradas siguientes, los valores que se detallan más abajo:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valores borrados:
3Dfx Acc
ABsr
Absr
AdobeA
adp
Adservice
Advapi
AIM reminder
Alevir
Alogserv
Amon
AnVir
Aornum
Api
Apvxd
Apvxdwin
Arupld32
Atrack
ausvc
Avast32
AvconsoleEXE
Avgserv9.exe
AvMaiSrv
avpcc
avx communicator
avxlni
awhost32
Backwork
bargains
bitdefenderlive
BlackIce Utility
BMail Installation
Bnexe
BOCleanautostart
Bonzi Buddy
boot
Bymer.Scanner
cAgOu
CC2KUI
Ccapp
Ccevtmgr
Ccpxysvc
Ccregvfy
Cd_load
Choke
CLICKTHEBUTTON
cmd
CMD
CmeSYS
Cmesys
CMESys
CmeUPD
Cmgrdian
ColdLife - icmp
ColdLife ?icmp
Com+Services
Comsocks
config32.exe
Configuration Loader
Configuration Manager
Configuration Wizard
CoreSrv
Cpd
Cpdclnt
CriticalUpdate
CyDoor
Debug
Default
distributed.net client
dlder
DownloadWare
Dvp95
Eac_Cnry
eixfi
Element
explore
Explorer
explorer
Explorer de la dc
Explorer32
ExplorerTask
F-StopW
fSys
FuckCop
fuckyou
Gator
Generic Host Process for Win32 Services...
GForce4DR
Gforce4DRv
GForce4DRv
GhostStartTrayApp
I386
Internat32.exe
InternetConfigure
Kernel32
Kernell32
LangSupportEx
LoadBlackD
LoadDBackUp
Loader
LoadFonts
LoadOrderVerification
LoadWinConf
LoadWinConf
LTM2
McAfee Firewall
McAfeeVirusScanService
messnger
Microsoft Configuration
Microsoft Diagnostic
Microsoft Netview
Microsoft System Monitor
mnsvc
MPFExe
MprHTML
Ms Spool32
MSAdmin
msconfigurator
MSKernel32
msn
msnb
Msrc
MSREGIT
Mswincfg
murphy shield
MxHLp32
Myapp
NAV Agent
NAV Configuration Wizard
NAV DefAlert
NAV Live Update
navapw32
NeroCheck
Netapi
Network Connections
Nod32CC
Norton Auto-Protect
NT Guard
NTFix
NTsocket
ogrc
PAV.EXE
PCStart
PersFw
poeto.
Pop3trap.exe
PPMemCheck
print sharing
PrinTray
procmon
Program In Windows
ps2
RapApp
rdvs
Registry
Remote Procedure Call Locator
Run_cd
rundll
rundll32
Rundllsystem32
RunProg
rvds
ScanInicio
ScrSvr
server
serverex
Shellapi32
sistrai.exe
sistray
ssdpsrv.exe
ssdpsvr.exe
Supernova
Sustem
SVHOST
Svhost Loader
Svhost Loader
SymTray - Norton SystemWorks
SyncAgent
SysProtect
SysScan
System Configuration
System Monitor
System Service
System Service
SystemBoot
SystemFTP
SystemMD
SystemReg
System-Service
systemtray
systemtray32
SystemTray32
SystemUpdate
systray
SysTray
SysTray32
Task Bar
Task Manager
TaskMan
TaskMonitor
TaskReg
Taskschd
Tau monitor
tcactive
tcmonitor
Tiny Personal Firewall
TrackPointSrv
TrojanScanner
tskdbg
UMXLDRW
Update
updatek
updateWin
VAGuard
Vet Alert
Vet Start UpHookSys
vhostl
vptray
vscanner
Vshwin32EXE
vsmon
vsmon.exe
VsStatEXE
webiss
WebScan
WebScanX
Webtrap
WebTrapNT.exe
Whvlxd
Win Server
Win Server Updt
WIN32 DEBUG
Win32 Rundll Loader
win32app
Win32BaseServiceMOD
Win32DLL
Win386
Winahlp.exe
winapidr
WinApp32
WIN-BUGSFIX
WinConfig
Windows
Windows API Structure
windows auto update
Windows Explorer
Windows Registry Checker
Windows Subsys
windows update
WindowsFix32
WindowsMGM
WindowsUpdate
WindowsUpdate
WinDSNX
WinDSNX
WinFix32.exe
WinGate initialize
WinHelp
Wininit
WinLoader
WinProfile
WinProxy
wins
winserver
Winsock2 driverSysCmd
Winsock32 driver
Winsvc32
Winsys
WinSystem
WINTASK
winupd32.exe
WinUpdate
WinUpdatermsdos423
WQK
Zonavirus
ZoneAlarm
ZoneAlarm Pro
zzgshp
También intentará borrar los siguientes archivos de la carpeta System (o System32) de la computadora infectada:
cnfgldr.exe
iexplore.exe
msgsrv.exe
msnb.exe
nav32_loader.exe
ravmond.exe
syscfg32.exe
syslog.exe
sysmon16.exe
taskmrg.exe
tcpsvs32.exe
tskman.exe
tskmgr32.exe
win.exe
winhelp.exe
winservices.exe
winsys.exe
También intentará borrar los siguientes archivos de la carpeta Windows (o WinNT):
auth.ini
bigmac.exe
direcx.dll
dwn.dat
explore.exe
fdrive.dat
fonts\explorer.exe
fonts\rundll32.exelitmus\winup.exe
gates.txt
hello-kitty.exe
iiscache.dll
litmus\killer.exe
litmus\msgorv32.exe
litmus\msgsrv32.exe
litmus\msgsrv320.exe
mirc.exe
mirc.ini
mirc2.ini
mirc3.ini
mirc32.exe
pr.ini
psexec.exe
rconnect.exe
remote.ini
script.ini
settings.ini
sntmls.dat
sntmls.dat
temp.exe
temp.scr
temp\r.bat
temp2.exe
vbrun7.dll
whvlxd.dat
whvlxd.exe
winmgm32.exe
winnt32.nfo
Utiliza su propio cliente de IRC para conectarse a un canal específico, donde aguarda los comandos enviados por un atacante.
Reparación manual
Debido a la naturaleza destructiva del gusano, luego de una infección, probablemente deba reinstalar Windows y todos los programas que dejen de funcionar.
Una opción, es reintegrar el registro desde una fecha anterior a la infección, utilizando la herramienta "Restaurar sistema" en Windows Me o XP (desde Inicio, Ejecutar, escriba RSTRUI.EXE más Enter).
Editar el registro
1. Descargue el siguiente archivo (Restore.reg):
http://www.videosoft.net.uy/restore.reg
2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro.
3. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir cada una de las siguientes ramas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunOnce
5. Pinche en la carpeta "Run", "RunOnce" o "RunService" según corresponda, y en el panel de la derecha busque y borre la siguiente entrada:
SysInit = wininit32.exe
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\PCHealth\ErrorReporing
7. En la ventana de la derecha, borre los siguientes valores:
AllOrNone = "1"
IncludeKernelFaults = "1"
IncludeMicrosoftApps = "1"
IncludeWIndowsApps = "1"
ShowUI = "0"
DoReport = "0"
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\Active Setup\Installed Components\SysInit
9. Pinche en la carpeta "SysInit" y en el panel de la derecha busque y borre la siguiente entrada:
StubPath = wininit32.exe
10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Connect
11. Pinche en la carpeta "Connect" y en el panel de la derecha busque y borre la siguiente entrada:
LastMonth = [mes]
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Policies\Explorer
13. Pinche en la carpeta "Explorer" y en el panel de la derecha busque y borre la siguiente entrada:
DisallowRun = "1"
14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\Explorer\DisallowRun
15. Pinche en la carpeta "DisallowRun" y en el panel de la derecha busque y borre las siguientes entradas:
1 = lockdown.exe
2 = vsmain.exe
3 = msconfig.exe
4 = zonealarm.exe
5 = zapro.exe
6 = blackd.exe
7 = blackice.exe
8 = processmonitor.exe
9 = pmon.exe
10 = smc.exe
11 = generics.exe
12 = netstat.exe
13 = ethereal.exe
14 = sniffem.exe
15 = monitor.exe
16 = lockdown2000.exe
17 = webtrap.exe
18 = programauditor.exe
19 = sniffem.exe
20 = jammer.exe
21 = ldnetmon.exe
22 = safeweb.exe
23 = realmon.exe
24 = guw32.exe
25 = regmon.exe
26 = netmon.exe
27 = portmon.exe
28 = filemon.exe
29 = scan32.exe
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
4. Reinicie su computadora
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|