Codbot.AI. Se propaga por recursos compartidosNombre: Codbot.AI
Nombre NOD32: Win32/Codbot.AI
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: Codbot.AI, Backdoor.Codbot.AI, Backdoor.Codbot.ai, BackDoor.Generic.HLI, Backdoor.Win32.Codbot.ai, Backdoor.Win32.Codbot.AI, BDS/Codbot.AI, Trojan.Codbot.Ai, W32.Toxbot, W32/Codbot-Q, W32/RBot.BYW-tr, W32/Sdbot.EMG.worm, W32/Sdbot.LII, W32/Sdbot.worm.gen.h, Win32.Detox, Win32/Codbot.AI
Plataforma: Windows 32-bit
Tamaño: 44,544 bytes (Polycrypt)
Este gusano se propaga por recursos compartidos de redes, valiéndose de las vulnerabilidades RPC/DCOM y LSASS (estas vulnerabilidades ya han sido corregidas en los parches MS03-026 y posteriores, y MS04-011 de Microsoft).
También posee características de caballo de Troya, abriendo una puerta trasera (backdoor), que le permite a un atacante ejecutar comandos de forma remota.
Cuando se ejecuta, crea la siguiente copia de si mismo en la carpeta del sistema de Windows:
c:\windows\system32\rpclocator.exe
También crea un servicio con las siguientes características:
Nombre de servicio: Locator
Nombre para mostrar: Remote Procedure Call (RPC) Locator
Ruta de acceso al ejecutable: [camino]\rpclocator.exe
Además de las vulnerabilidades anteriormente mencionadas, el gusano busca los siguientes recursos compartidos por defecto, y se copia en ellos:
C$
IPC$
El gusano intenta conectarse a un canal de IRC (Internet Relay Chat), lo cuál permitirá a un atacante remoto realizar las siguientes acciones, entre otras:
- Ejecutar comandos MS-DOS
- Habilitar o deshabilitar DCOM
- Habilitar o borrar recursos compartidos
- Inundar el caché DNS
- Mostrar información del sistema
- Mostrar mensajes del usuario remoto
- Generar al azar nuevos nicks para el BOT
- Abrir archivos
- Cambiar el nick del BOT
- Finalizar el BOT
El gusano también se conecta a determinados servidores HTTP y FTP para realizar las siguientes acciones:
- Descargar y/o ejecutar archivos descargados de Internet
- Actualizar el propio gusano
Reparación IMPORTANTE:Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmMS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmBuscar y detener el servicio (Windows XP)1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse Enter.
2. En la lista de servicios busque "Remote Procedure Call (RPC) Locator".
3. Haga doble clic sobre ese servicio, y haga clic en el botón "Detener" si corresponde.
4. Cambie el "Tipo de inicio" a Manual.
5. Haga clic en "Aceptar" y cierre la ventana de Servicios.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/codbot-ai.htm
