W32/Codbot. Se propaga por recursos compartidosNombre: W32/Codbot
Nombre NOD32: Win32/Codbot
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: Codbot, Backdoor.Codbot.Z, Backdoor.Win32.Codbot.z, Trojan.Codbot-2, W32.Randex, W32/Codbot-K, W32/Gaobot.EWU.worm, W32/Gaobot.worm, W32/Gaobot.worm.gen.q, Win32.Detox, Win32.Toxbot.Y, Win32/Codbot, Worm/Codbot.Z, WORM_RANDEX.BN
Plataforma: Windows 32-bit
Tamaño: 28,672 bytes (k.kryptor 3)
Este gusano se propaga por recursos compartidos de redes, valiéndose de las vulnerabilidades RPC/DCOM y LSASS (estas vulnerabilidades ya han sido corregidas en los parches MS03-026 y posteriores, y MS04-011 de Microsoft).
También posee características de caballo de Troya, abriendo una puerta trasera (backdoor), que le permite a un atacante ejecutar comandos de forma remota.
Cuando se ejecuta, crea la siguiente copia de si mismo en la carpeta de Windows:
c:\windows\SCARDCLNT.EXE
También modifica las siguientes claves del registro para crear un servicio que se auto ejecutará en cada inicio de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal\ScardClnt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network\ScardClnt
Además de las vulnerabilidades anteriormente mencionadas, el gusano busca los siguientes recursos compartidos por defecto, y se copia en ellos:
C$
IPC$
El gusano intenta conectarse a un canal de IRC (Internet Relay Chat), lo cuál permitirá a un atacante remoto realizar las siguientes acciones, entre otras:
- Ejecutar comandos MS-DOS
- Habilitar o deshabilitar DCOM
- Habilitar o borrar recursos compartidos
- Inundar el caché DNS
- Mostrar información del sistema
- Mostrar mensajes del usuario remoto
- Generar al azar nuevos nicks para el BOT
- Abrir archivos
- Cambiar el nick del BOT
- Finalizar el BOT
El gusano también se conecta a determinados servidores HTTP y FTP para realizar las siguientes acciones:
- Descargar y/o ejecutar archivos descargados de Internet
- Actualizar el propio gusano
Reparación IMPORTANTE:Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmMS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmDeshabilitar las carpetas compartidasEs importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registro1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT, y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\SafeBoot
\Minimal
\ScardClnt
3. Pinche en la carpeta "ScardClnt" y bórrela.
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\SafeBoot
\Network
\ScardClnt
4. Pinche en la carpeta "ScardClnt" y bórrela.
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Borrado manual de los archivos creados por el gusanoDesde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\SCARDCLNT.EXE
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/codbot.htm