W32/SpyBot.AMF. Se copia como "sysmsvc.exe"Nombre: W32/SpyBot.AMF
Nombre Nod32: Win32/SpyBot.AMF
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: SpyBot.AMF, Win32/SpyBot.AMF, W32.Spybot.FCD, W32.Spybot.Worm, W32.Spybot.Worm, W32/Sdbot.worm.gen.j, Backdoor.Win32.Rbot.gen
Plataforma: Windows 32-bit
Tamaño: 124,928 bytes
Gusano que se propaga por recursos compartidos de redes, y que puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.
Cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\sysmsvc.exe
Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
MsWindows SysDate = "sysmsvc.exe"
HKCU\Software\Microsoft\OLE
MsWindows SysDate = "sysmsvc.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MsWindows SysDate = "sysmsvc.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MsWindows SysDate = "sysmsvc.exe"
El gusano intenta continuamente infectar máquinas remotas, generando direcciones IP al azar para conectarse a través del puerto 445. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código.
Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de infección, intentando copiarse en dicho equipo en las siguientes ubicaciones:
admin$\sysmsvc.exe
admin$\system32\sysmsvc.exe
c$\sysmsvc.exe
c$\windows\system32\sysmsvc.exe
c$\winnt\system32\sysmsvc.exe
d$\sysmsvc.exe
ipc$\sysmsvc.exe
print$\sysmsvc.exe
También intenta aprovecharse de otras conocidas vulnerabilidades para propagarse.
Posee un componente de acceso por puerta trasera (backdoor), que intenta conectarse a servidores de IRC y unirse a un canal predeterminado. Actúa como un IRC Bot, esperando las instrucciones en dicho canal. Un BOT es la copia de un usuario en un canal de IRC, preparado para responder y ejecutar ciertos comandos en forma automática.
Utiliza como servidor el siguiente (por el puerto TCP/8080):
fear.godofthe.net
Algunas acciones posibles:
Auto actualizarse
Capturar imágenes de webcams
Capturas de pantalla
Conectarse a una URL determinada
Descargar y ejecutar archivos
Enviar archivos
Enviar pulsaciones de teclado a la ventana activa
Escanear puertos de otras computadoras
Iniciar un servidor HTTP
Matar procesos e hilos de ejecución
Obtener información del sistema
Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
Robar el caché de contraseñas en Windows 95, 98 y ME
También roba la información de registro (CD-Keys), de los siguientes juegos:
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
FIFA 2002
FIFA 2003
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Microsoft Windows Product ID
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
Unreal Tournament 2003
Unreal Tournament 2004
Reparación
Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
Antivirus
Actualice sus antivirus con las últimas definiciones
1. Reinicie Windows en modo a prueba de fallos.
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
SYSMSVC.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:
SYSMSVC.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SYSTEM
\CurrentControlSet
\Control
\Lsa
3. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
MsWindows SysDate
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
5. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
MsWindows SysDate
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
MsWindows SysDate
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
9. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
MsWindows SysDate
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Más información:
http://www.vsantivirus.com/spybot-amf.htmWootbot.BJ Gusano que se propaga utilizando la vulnerabilidad LSASS (Local Security Authority Subsystem). Utiliza un bot ICR para conectarse a un servidor IRC esperando comandos remotos.
Nombre completo: Worm.W32/Wootbot.BJ
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Tamaño (bytes): 132122
Alias:WORM_WOOTBOT.BJ (Trend Micro), W32/Spybot.BAQ (Otros), Win32/Wootbot.NBO (Enciclopedia Virus)
Cuando el gusano se ejecuta crea una copia de si mismo dentro de la carpeta C:\WINDOWS\SYSTEM con el siguiente nombre:
serviced.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para ejecutarse en cada inicio del sistema crea las siguientes claves en el registro de Windows:
HKLM\Software\Microsoft\Windows
CurrentVersion\Run
Wlan Driver = serviced.exe
HKLM\Software\Microsoft\Windows
CurrentVersion\RunOnce
Wlan Driver = serviced.exe
HKLM\Software\Microsoft\Windows
CurrentVersion\RunServices
Wlan Driver = "serviced.exe
HKLM\Software\Microsoft\Windows
CurrentVersion\Run
Wlan Driver = serviced.exe
HKLM\Software\Microsoft\Windows
CurrentVersion\RunOnce
Wlan Driver = serviced.exe
El gusano utiliza la vulnerabilidad LSASS (Local Security Authority Subsystem).
Busca las siguientes carpetas compartidas para crear una copia de si mismo dentro de dichas carpetas:
ADMIN$
C$
D$
IPC$
También roba números de serie (CD-Keys) de varios video juegos:
Battlefield 1942
Battlefield 1942: Secret Weapons Of WWII
Battlefield 1942: The Road To Rome
Battlefield 1942: Vietnam
Black and White
Command and Conquer: Generals
Command and Conquer: Generals: Zero Hour
Command and Conquer: Red Alert2
Command and Conquer: Tiberian Sun
Counter-Strike
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden and Dangerous 2
IGI2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
Need For Speed: Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
NHL 2002
NHL 2003
Ravenshield
Shogun: Total War: Warlord Edition
Soldier Of Fortune 2
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
Además intentará capturar las claves de Identificación de producto de Microsoft Windows y de Yahoo Messenger.
El gusano contiene un apuerta trasera, se actualiza a si mismo creando y ejecutando el archivo "1.bat", este archivo descarga una copia del gusano desde Internet y luego lo ejecuta.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4385Myfip.E Gusano se propaga a través de unidades compartidas de red sin protección o protegidas con contraseñas débiles.
Intenta registrarse como un servicio de Windows de nombre "Distributed Link Tracking Extensions".
Nombre completo: Worm.W32/Myfip.E@SMB
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft
Alias:Win32/Myfip.E (ESET (NOD32)), W32/Myfip-E (Sophos), Worm.Win32.Myfip.e (Otros)
Cuando Worm.W32/Myfip.E@SMB es ejecutado, realiza las siguientes acciones:
Crea una copia de si mismo en "C:\Windows\System\kernel32dll.exe".
Se copia en unidades compartidas de red con los siguientes nombres:
dfsvc.exe.
worm.txt.exe
También crea los siguientes archivos en el equipo infectado:
temp.exe
temp.txt
Intenta registrarse a si mismo como un servicio de Windows llamado "Distributed Link Tracking Extensions", para ello crea la siguiente entrada en el registro:
Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: Distributed File System = kernel32dll.exe
Worm.W32/Myfip.E@SMB crea una lista de archivos que tengan alguna de las siguientes extensiones:
PDF
DOC
DWG
SCH
PCB
DWT
DWF
MAX
Evita ubicar archivos en dicha lista que se encuentren dentro de los siguientes directorios:
All Users
Archivos de programas
Documents and Settings
I386
Inetpub
My Music
Program Files
Recycler
System Volume Information
Windows
Winnt
Wutemp
El gusano envía el contenido del archivo creado a una dirección IP predefinida.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4386
