W32/Dipnet.NAC. Utiliza la vulnerabilidad LSASS Nombre: W32/Dipnet.NAC
Nombre NOD32: Win32/Dipnet.NAC
Tipo: Gusano de Internet
Alias: Dipnet.NAC, Win32/Dipnet.NAC, Net-Worm.Win32.DipNet.d, Exploit-MS04-011.gen, Worm/DipNet.b, Exploit.DCOM.Gen
Plataforma: Windows 2000 y XP
Tamaño: 91 KB (UPX)
Puerto: TCP 445, 11768
Se trata de un gusano que se propaga a través de equipos vulnerables al desbordamiento de búfer en el proceso LSASS (Local Security Authority Subsystem), reparado por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm).
Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.
LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático para propagarse por las redes.
El gusano se propaga buscando equipos vulnerables en direcciones IP seleccionadas al azar, intentando conectarse por el puerto TCP 445. Si la conexión tiene éxito, el gusano crea en esos equipos un shell remoto para ejecutar los comandos que copian y ejecutan al propio gusano.
Los equipos infectados ven notoriamente degradada su rendimiento en la conexión a Internet.
Cuando se ejecuta, crea un archivo con nombre seleccionado con letras y números al azar en la siguiente ubicación:
c:\windows\system32\[nombre].exe
En equipos con Windows 9x y Me, el gusano puede crear la siguiente entrada:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinNetDDE = c:\windows\system\[nombre].exe
Además crea un servicio llamado "WebPoster".
El gusano también abre el puerto TCP/11768 y queda a la espera de comandos de un usuario remoto.
Este acceso por puerta trasera (backdoor), proporciona al atacante un acceso completo al equipo infectado.
El gusano intenta conectarse a alguno de los siguientes sitios para comprobar la conexión a Internet:
www .ebay .com
www .google .com
www .yahoo .com
Reparación
IMPORTANTE:Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmMS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmAntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
WinNetDDE
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Services
\WebPoster
5. Haga clic en la carpeta "WebPoster" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet002
\Services
\WebPoster
7. Haga clic en la carpeta "WebPoster" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\WebPoster
9. Haga clic en la carpeta "WebPoster" y bórrela.
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/dipnet-nac.htm
