W32/Agobot.ATD. Se copia como "run.exe"Nombre: W32/Agobot.ATD
Nombre NOD32: Win32/Agobot.ATD
Tipo: Gusano de Internet y caballo de Troya
Alias: Agobot.ATD, Gaobot.ATD, Backdoor.Win32.Agobot.ace, Backdoor.Win32.Agobot.ACE, W32.Spybot.Worm, W32/AgoBot.ACE-bdr, W32/Agobot-SD, W32/Bropia.AK.worm, W32/Gaobot.GCU.worm, W32/Gaobot.worm.gen.e, W32/Sdbot.worm.gen.n, Win32.HLLW.MyBot, Win32.Rbot.CLW, Win32/Agobot.ATD, Win32/Rbot.227754!Worm, Worm.Gaobot.Ace, Worm/Agobot.53.Z, Worm/Bropia.J, Worm/Mydoom.S2
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 227,754 bytes (PE_PATCH)
Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\run.exe
Agrega las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = "run.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows = "run.exe"
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "1"
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Reparación antivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registro1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT, y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ole
3. Pinche en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Nombre", busque el siguiente valor y cámbielo por "Y":
EnableDCOM = "N"
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windows
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
9. Pinche en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Nombre", busque el siguiente valor y cámbielo por "0" (cero):
restrictanonymous = "1"
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Borrado manual de los archivos creados por el gusanoDesde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system32\run.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/agobot-atd.htm
