W32/Maslan.B. Datos adjuntos: "Playgirls_2.exe" Nombre: W32/Maslan.B
Nombre Nod32: Win32/Maslan.B
Tipo: Gusano de Internet y caballo de Troya
Alias: Maslan.B, Maslan.C, Backdoor.Win32.SdBot.ts, Exploit-Lsass.g.gen, Net-Worm.Win32.Maslan.b, PE_MASLAN.C, W32.Maslan.C@mm, W32/Maslan.c@MM, W32/Maslan-C, W32/Sdbot-RW, Win32.HLLM.Alaxala, Win32.Maslan.B@mm, Win32/Maslan.B, Worm.Maslan.B
Plataforma: Windows 32-bit
Tamaño: 54,784 bytes
Se propaga por correo electrónico y redes, y es capaz de utilizar varios exploits, entre ellos el que se aprovecha de la vulnerabilidad ya corregida por Microsoft, en el componente RPC/DCOM (ver "MS04-012 Parche acumulativo para RPC/DCOM (828741)",
http://www.vsantivirus.com/vulms04-012.htm).
También se aprovecha de la vulnerabilidad en el componente LSASS, corregida por Microsoft en abril de 2004 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm).
Los mensajes enviados, tienen las siguientes características:
De: [nombre] @ [dominio]
Asunto: 12345
Texto del mensaje:
Hello [nombre]
--
Best regards,
[nombre] mailto:[remitente falso]
Donde [nombre] será alguno de los siguientes:
accoun
admin
Alan
Andrew
Angel
Anna
Arnold
Bernard
Carter
certific
Conor
Chris
Christian
Ghisler
Goldberg
Green
Helen
Ivan
Jackson
John
Kramer
Kutcher
listserv
Liza
Lopez
Mackye
Maria
Miller
Nelson
ntivi
Peter
Robert
Ruben
Sarah
Scott
Smith
Steven
subscribe
Y [dominio] será alguno de los siguientes:
aol.com
freemail.com
hotmail.com
mail.com
msn.com
yahoo.com
Datos adjuntos: Playgirls_2.exe
Cuando se ejecuta, el gusano crea algunos de los siguientes archivos:
c:\windows\system32\___e
c:\windows\system32\___j.dll
c:\windows\system32\___n.exe
c:\windows\system32\___r.exe
c:\windows\system32\___synmgr.exe
c:\windows\system32\___u
En Windows XP y 2000, inyecta el archivo "___J.DLL" en el proceso de SVCHOST.EXE.
Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es un archivo legítimo de Windows XP, utilizado para la ejecución de servicios.
Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Windows DHCP = c:\windows\system32\___r.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
El gusano utiliza técnicas de herramientas de root (rootkit), para prevenir que archivos y procesos cuyos nombres comiencen con tres caracteres de subrayado ("___"), sean visibles a los usuarios. Esta acción puede ocasionar que el administrador de tareas de Windows falle al ser abierto (CTRL+ALT+SUPR).
El gusano libera un BOT de IRC (un troyano que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos), el cual es copiado como ___SYNMGR.EXE en la carpeta del sistema de Windows.
El troyano se conecta a un servidor de IRC por el puerto TCP 7000 para recibir las instrucciones de un usuario remoto.
Algunas de las acciones posibles:
- Agregar o quitar recursos compartidos
- Buscar otros sistemas vulnerables o infectados
- Capturar imagen usando la Webcam de la víctima
- Capturar la salida del teclado
- Conseguir la clave de registro de varios juegos
- Conseguir la clave de registro de Windows
- Enviar correo utilizando su propio motor SMTP
- Habilitar o deshabilitar DCOM
- Iniciar o terminar procesos
- Listar procesos activos
- Obtener contenido del portapapeles
- Obtener el contenido del caché de contraseñas
- Operaciones HTTP y FTP
- Realizar ataques de denegación de servicio (DoS)
- Realizar escaneos de paquetes
- Realizar varias operaciones en IRC
- Redireccionar puertos
El gusano examina computadoras remotas, para intentar explotar la vulnerabilidad RPC/DCOM, utilizando el puerto TCP 135.
Mientras se ejecuta, monitorea todas las ventanas del Internet Explorer que sean abiertas, y cuyos nombres contengan algunas de las siguientes cadenas:
bank
e-bullion
e-gold
evocash
mail
paypal
trade
Cuando una ventana con esas características es localizada, todas las entradas en el teclado realizadas por el usuario infectado en dichas ventanas, es capturado, almacenado, y luego enviado a un sitio web remoto.
Crea los siguientes archivos para almacenar la información capturada (estos archivos son borrados y vueltos a crear varias veces):
c:\windows\system32\AlaDdos
c:\windows\system32\Alaftp
c:\windows\system32\AlaMail
c:\windows\system32\AlaScan
El gusano busca en el disco duro, archivos cuyos nombres contengan las siguientes cadenas en su nombre y camino completo:
distr
download
setup
share
Si el archivo encontrado tiene además algunas de las siguientes extensiones:
.exe
.pif
.rar
.zip
Y su nombre es más largo que "___U", entonces es copiado con el camino completo (carpetas, subcarpetas), dentro de una carpeta llamada "___B" en el raíz de C:
c:\___b
Luego se copia él mismo al principio del archivo original, conservando el mismo tamaño y el mismo icono que aquellos.
El gusano busca direcciones a las que enviarse, en archivos de la máquina infectada con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.f
.htm
.jsp
.mbx
.mdx
.mht
.mm
.mmf
.msg
.nch
.ods
.oft
.php
.sht
.shtm
.stm
.tbb
.txt
.uin
.uin
.wab
.wsh
.xls
.xml
Evita enviar mensajes infectados a aquellas direcciones cuyos nombres contengan las siguientes cadenas:
abuse
accoun
acketst
admin
anyone
aol.com
arin.
avp
berkeley
borlan
bsd
bugs
certific
contact
example
feste
fido
foo.
freemail.com
fsf.
gnu
gold-certs
google
help
hotmail.com
iana
ibm.com
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
mail.com
math
mit.e
mozilla
msn.com
mydomai
mysqlruslis
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spam
spm
submit
subscribe
syma
tanford.e
test
the.bat
unix
usenet
utgers.ed
webmaster
www
yahoo.com
you
your
Reparación Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos suplantados, dependerá del daño causado por el virus desde el momento de ocurrida la infección.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsoft Synchronization Manager
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
Microsoft Windows DHCP
Microsoft Synchronization Manager
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsoft Synchronization Manager
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/maslan-b.htm
