IRCBot.OW. Utiliza exploit Plug and Play (MS05-039)Nombre: IRCBot.OW
Nombre Nod32: Win32/IRCBot.OW
Tipo: Gusano de Internet y Caballo de Troya
Alias: IRCBot.OW, I-Worm.Mytob.cm, I-Worm/Mytob.MB, Net-Worm.Win32.Mytob.cm, Net-Worm.Win32.Mytob.X, W32.Zotob.I, W32/Domwis-M, W32/PSybot.I.worm, W32/Sytob.V21-net, W32/Zotob.E, W32/Zotob.worm.d, Win32.Worm.Mytob.CM, Win32.Zotob.E, Win32/IRCBot.OW, Win32/Zotob.D1!Worm, Win32:Zotob-H, Worm.Mytob.T-2, Worm/Zotob.B
Plataforma: Windows 32-bit
Tamaño: 11,897 bytes (PE_PATCH, UPACK)
Puertos: TCP 6667, 1117, 445
Gusano que se propaga por correo electrónico, además de utilizar la vulnerabilidad descripta en el boletín MS05-039 de Microsoft:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htmEsta vulnerabilidad solo puede ser explotada en equipos con Windows 2000 sin el parche MS05-039 instalado. Sin embargo, todos los usuarios que utilicen cualquier versión de Windows pueden infectarse también al hacer doble clic sobre el archivo adjunto enviado en los mensajes de correo electrónico que el gusano es capaz de enviar.
Cuando se ejecuta, el gusano crea el siguiente archivo:
c:\windows\hpsv.exe
Agrega las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SyBot v2.1 By Sky-Dancer = "HPSV.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SyBot v2.1 By Sky-Dancer = "HPSV.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
SyBot v2.1 By Sky-Dancer = "HPSV.exe"
El gusano comprueba continuamente la existencia de estas claves y las vuelve a crear si son borradas con el virus todavía en memoria.
También crea las siguientes entradas:
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
SyBot v2.1 By Sky-Dancer = "HPSV.exe"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
SyBot v2.1 By Sky-Dancer = "HPSV.exe"
HKCU\Software\Microsoft\OLE
SyBot v2.1 By Sky-Dancer = "HPSV.exe"
HKLM\SOFTWARE\Microsoft\Ole
SyBot v2.1 By Sky-Dancer = "HPSV.exe"
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
Examina si hay conexiones de red activas, intentando conectarse a determinados dominios. Luego, intenta abrir una puerta trasera, conectandose a un servidor de IRC predeterminado a través del puerto TCP 6667. Esto permite que un atacante remoto pueda acceder al sistema, para realizar acciones como las siguientes:
- Descarga y ejecución de archivos
- Finalizar procesos
- Intentar obtener las contraseñas del usuario
El gusano también intenta propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows, descripta en el boletín de seguridad MS05-039. Para ello puede crear varios threads (hilos de ejecución) para buscar sistemas vulnerables enviando paquetes SYN por el puerto TCP 445.
Si el ataque tiene éxito (solo en equipos con Windows 2000 sin el parche MS05-039), ejecuta un shell (cmd.exe) en el equipo remoto, para enviar los comandos que descarguen y ejecuten al propio gusano.
Reparación
IMPORTANTE:Instalar el siguiente parche si aún no lo ha hecho:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htmAntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
3. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SYSTEM
\CurrentControlSet
\Control
\Lsa
7. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ole
9. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
13. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
15. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/ircbot-ow.htm
