W32/Blatic.A. Se propaga por recursos compartidos Nombre: W32/Blatic.A
Nombre NOD32: NewHeur_PE (Detectado por heurística)
Tipo: Gusano de Internet
Alias: Blatic, Backdoor.SDBot.0EABD970, NewHeur_PE, P2P-Worm.Win32.SpyBot.fa, Possible_Virus, W32.Blatic.A, Win32.IRC.Bot.based, Worm/Mumu.B.4
Plataforma: Windows 32-bit
Tamaño: variable
Puerto: TCP 6667
Gusano capaz de propagarse a través de recursos compartidos de redes y canales de IRC (Internet Relay Chat). Posee funcionalidades de troyano de acceso remoto por puerta trasera, pudiendo un atacante ejecutar comandos vía canales de IRC.
Cuando se ejecuta, crea el siguiente archivo en la carpeta del sistema:
c:\windows\system32\iexplor.exe
El gusano examina si existe la siguiente clave en el registro:
HKLM\SOFTWARE\Microsoft\MS. Update
"bla" = "[número al azar]"
Si existe, el gusano descarga y ejecuta algunos archivos de Internet, usando el protocolo HTTP. También puede descargar una versión actualizada de si mismo.
Crea las siguientes entradas en el registro, para autoejecutarse en próximos reinicios de Windows:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
winsockdriver = "c:\windows\system32\iexplor.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winsockdriver = "c:\windows\system32\iexplor.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
shell = "explorer.exe c:\windows\system32\iexplor.exe"
También crea las siguientes entradas:
HKLM\SOFTWARE\Microsoft\MS. Update
bla = "[número al azar]"
En Windows 95, 98 y Me, modifica el archivo WINDOWS\SYSTEM.INI:
[boot]
shell = explorer.exe c:\windows\system32\iexplor.exe
El gusano puede propagarse a través del recurso compartido en red $ADMIN, utilizando una lista de nombres de usuario y contraseñas predefinidas para la conexión.
Una vez en memoria, se ejecuta el componente troyano, que abre una puerta trasera (backdoor), a través del puerto TCP/6667, para conectarse al canal de IRC "#OlaGh", a través de los siguientes servidores:
irc .iranserv .com
arya .persiairc .com
A través de dicha conexión, un usuario remota podrá ejecutar diversos comandos, comprometiendo la seguridad del equipo infectado.
El gusano crea el siguiente mutex (objeto indicador que funciona como semáforo), para no ejecutar en memoria más de una copia en forma simultánea:
blaaat
Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system32\iexplor.exe
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunOnce
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
winsockdriver = "c:\windows\system32\iexplor.exe"
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
winsockdriver = "c:\windows\system32\iexplor.exe"
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
7. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre":
Shell
8. Modifique el valor de "Shell" para que aparezca solo esto:
Shell = Explorer.exe
9. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\MS. Update
10. Haga clic en la carpeta "MS. Update" y bórrela.
11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Modificar SYSTEM.INI
Usuarios de Windows Me solamente:En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
Usuarios de Windows 95, 98 y Me:1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque lo siguiente:
[boot]
shell = explorer.exe c:\windows\system32\iexplor.exe
y déjelo así:
[boot]
shell = explorer.exe
3. Grabe los cambios y salga del bloc de notas
Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/blatic-a.htm
