IRCBot.OO. Descarga archivos, utiliza vulnerabilidadNombre: IRCBot.OO
Nombre Nod32: Win32/IRCBot.OO
Tipo: Gusano de Internet y caballo de Troya
Alias: IRCBot, Backdoor.IRCBot.bv, Backdoor.SdBot, Backdoor.Win32.IRCBot.bv, Backdoor/IRCBot.bv, Bck/IRCBot.HL, BehavesLike:Win32.IRC-Backdoor, Trojan.Ircbot.Bv, W32/Sdbot.KAM, W32/SDBot.KPW, W32/Sdbot.worm.gen.y, W32/SDBot.ZQ-bdr, W32/Sdbot-ZQ, Win32.Detox, Win32.Shlockbot.A, Win32/IRCBot.OO, Win32:IRCbot-AL, Worm.IRCBot.CY, Worm/SdBot.8590
Plataforma: Windows 32-bit
Tamaño: 8,590 bytes (PE_Patch, MEW)
Puerto: TCP 37702
Se trata de un gusano de redes, capaz de propagarse utilizando varios exploits, entre ellos el que se aprovecha de la vulnerabilidad en el componente LSASS, corregida por Microsoft en abril de 2004 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm).
Luego de ejecutarse, el gusano descarga y ejecuta archivos adicionales de Internet. Estos archivos son a su vez troyanos del tipo "downloaders", o sea códigos que descargan otros programas.
Los archivos descargados, pueden eliminar los procesos de diversas aplicaciones de seguridad, incluyendo cortafuegos. También pueden modificar la configuración del cortafuegos de Windows XP, de tal modo que otros programas descargados por el gusano (troyanos), puedan comunicarse de y hacia Internet sin el conocimiento del usuario infectado.
Finalmente, se libera y ejecuta un componente de acceso remoto por puerta trasera (backdoor), en todos los sistemas infectados, con la posibilidad de comunicarse entre ellos.
El gusano crea el siguiente archivo:
c:\windows\system32\mousecm.exe
El gusano se instala a si mismo como un servicio que se ejecuta en cada reinicio de Windows, y con las siguientes propiedades:
Nombre de servicio: "mousecm"
Nombre para mostrar: "Mouse Click Monitor"
Descripción: "Enables a computer to maintain
synchronization with a PS/2 pointing device.
Stopping or disabling this service will result
in system instability."
Crea para ello las siguientes entradas en el registro:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MOUSECM
HKLM\SYSTEM\CurrentControlSet\Services\mousecm
También modifica las siguientes entradas:
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "1"
Reparación IMPORTANTE:Si no lo tiene instalado, descargue y ejecute este parche antes de proceder al resto de la limpieza:
MS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmAntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ole
3. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", cambie la siguiente entrada por lo siguiente:
EnableDCOM = "Y"
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
5. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", cambie la siguiente entrada por lo siguiente:
restrictanonymous = "0"
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_MOUSECM
7. Haga clic en la carpeta "LEGACY_MOUSECM" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\mousecm
9. Haga clic en la carpeta "mousecm" y bórrela.
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/ircbot-oo.htm
