Wootbot.BJ
Nombre completo: Worm-Backdoor.W32/Wootbot.BJ@IM Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Tamaño (bytes): 99664
Alias:WORM_WOOTBOT.GB (Trend Micro)
Descarga una copia de sí mismo en la carpeta del sistema de Windows con el nombre RAPID.EXE
Para iniciarse junto al arranque de Windows, crea las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Win32 USB2 Driver = "rapid.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 USB2 Driver = "rapid.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
Win32 USB2 Driver = "rapid.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Win32 USB2 Driver = "rapid.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
Win32 USB2 Driver = "rapid.exe"
Rutinas de Propagación
Se propaga a través de programas de mensajería instantánea como Yahoo Pager, AOL Instant Messenger y .NET Messenger Service.
También puede propagarse sobre recursos de red compartidos que sean accesibles desde una máquina infectada, en los que intentará dejar una copia del gusano.
Para ello, genera direcciones IP sobre las que intentará la conexión, para descargar un copia de sí mismo sobre los recursos IPC$ compartidos por defecto.
Puerta Trasera
Es capaz de actuar como puerta trasera al conectarse a un canal predeterminado de un servidor IRC donde esperará la conexión del atacante para recibir comandos como que le permitan:
Mostrar información del sistema:
Memoria total.
Velocidad de la CPU
Nombre del usuario
Datos de Windows, versión, Id de producto
Descargar y ejecutar ficheros
Emular un servidor FTP
Buscar puertos abiertos en máquina de la misma red (Escaneo de puertos)
Buscar determinadas cadenas de texto que circulen en paquetes de la red (sniffing)
Lanzar ataques de denegación de servicio utilizando los siguientes métodos:
Ping flood
UDP flood
TCP flood
SYN flood
ICMP flood
Ejecutar, listar y terminar procesos
Descargar una shell de comandos remota.
Iniciar la ejecución de un servidor Proxy
Enviar mensajes
Capturar los datos de acceso a Windows de los usuarios
Listar, iniciar o detener servicios
Modificar las cuentas de usuario
Añadir listar y borrar recuersos de red
Apagar, desconectar e iniciar el sistema
También será capaz de borrar el contenido de las siguientes carpetas compartidas:
ADMIN$
C$
D$
IPC$
Robo de Información
Intentará capturar las claves de producto de Microsoft Windows así como las de ciertos juegos que puedan estar instalados en la máquina infectada.
Battlefield 1942:
Battlefield 1942: Secret Weapons Of WWII:
Battlefield 1942: The Road To Rome:
Battlefield 1942: Vietnam:
Black and White
Command and Conquer: Generals
Command and Conquer: Generals: Zero Hour
Command and Conquer: Red Alert2
Command and Conquer: Tiberian Sun
Counter-Strike
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life:
Hidden and Dangerous 2
IGI2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Need For Speed: Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Ravenshield
Shogun: Total War: Warlord Edition
Soldier Of Fortune 2
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
También puede propagarse sobre recursos de red compartidos que sean accesibles desde una máquina infectada, en los que intentará dejar una copia del gusano.
Se conecta a un canal predeterminado de un servidor IRC donde esperará la conexión del atacante para recibir comandos remotos.
Además intentará capturar las claves de producto de Microsoft Windows así como las de ciertos juegos que puedan estar instalados en la máquina infectada.
ReparaciónDesactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC.
Repare o borre el fichero infectado, que se encuentra en la carpeta del sistema de Windows con el nombre RAPID.EXE.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que
editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Win32 USB2 Driver = "rapid.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 USB2 Driver = "rapid.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
Win32 USB2 Driver = "rapid.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Win32 USB2 Driver = "rapid.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
Win32 USB2 Driver = "rapid.exe"
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4701
