Bozori.G. Se propaga usando vulnerabilidad MS05-039Nombre: Bozori.G
Nombre NOD32: Win32/Bozori.G
Tipo: Gusano de Internet y caballo de Troya
Alias: Bozori.G, Net-Worm.Win32.Bozori.g, Win32/Bozori.G
Plataforma: Windows 32-bit
Tamaño: 178,176 bytes
Puertos: TCP 69, 445, 8080
Gusano y caballo de Troya que se aprovecha de la vulnerabilidad descripta en el boletín MS05-039 de Microsoft para propagarse:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htmEsta vulnerabilidad solo puede ser explotada en equipos con Windows 2000 sin el parche MS05-039 instalado.
Ciertas funcionalidades solo se activan cuando logra conectarse a un servidor IRC y recibe los comandos correspondientes de un usuario remoto, operando como un BOT de IRC (un programa que actúa ejecutando ciertos comandos automáticamente al recibir la orden).
Cuando se ejecuta, el troyano puede crear el siguiente archivo:
c:\windows\system32\windbg32.exe
Crea las siguientes entradas en el registro de Windows para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Debugger = c:\windows\system32\windbg32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Debugger = c:\windows\system32\windbg32.exe
Intenta detectar conexiones de red activas y direcciones IP ruteables. Si no las encuentra, el gusano no se ejecutará correctamente.
El gusano se conecta a un canal de IRC por el puerto 8080, y queda a la espera de comandos de un usuario remoto, el cuál podría ejecutar acciones como las siguientes en el equipo infectado:
- Borrar el propio gusano del sistema
- Descargar archivos vía HTTP y ejecutarlos
- Finalizar la ejecución del gusano
- Finalizar procesos y borrar archivos
El gusano intenta borrar todos los procesos ejecutándose cuyo nombre coincida con los mostrados en la siguiente lista (pertenecen a otros gusanos que explotan la vulnerabilidad MS05-039):
botzor.exe
csm.exe
llsrv.exe
mousebm.exe
pnpsrv.exe
service32.exe
svnlitup32.exe
system32.exe
upnp.exe
winpnp.exe
wintbp.exe
El gusano también intenta propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows, descripta en el boletín de seguridad MS05-039. Para ello busca sistemas vulnerables enviando paquetes SYN por el puerto TCP 445.
Si el ataque tiene éxito (solo en equipos con Windows 2000 sin el parche MS05-039), ejecuta un shell en el equipo remoto para descargar y ejecutar una copia de si mismo via FTP. Para ello, el gusano intentará utilizar el puerto TCP 69.
Reparación IMPORTANTE:Instalar el siguiente parche si aún no lo ha hecho:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htmDeshabilitar cualquier conexión a Internet o una redEs importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusPara borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/bozori-g.htm
