Bozori.I. Se propaga usando vulnerabilidad MS05-039Nombre: Bozori.I
Nombre NOD32: Win32/Bozori.I
Tipo: Gusano de Internet y caballo de Troya
Alias: Bozori.I, Exploit.Based.Worm.Gen, I-Worm.Bozori.i, I-Worm/Generic.F, Net-Worm.Win32.Bozori.B, Net-Worm.Win32.Bozori.i, Packer/YodaCrypt, PCK/YodaCrypt, W32/Bozori.F, W32/Bozori.i, W32/Bozori.I-net, W32/IRCBot.MI.worm, Win32/Bozori.I, Worm.Mytob.Crypt.Gen
Plataforma: Windows 32-bit
Tamaño: 11,390 bytes (YODA, UPX)
Gusano y caballo de Troya que se aprovecha de la vulnerabilidad descripta en el boletín MS05-039 de Microsoft para propagarse:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htmCiertas funcionalidades solo se activan cuando logra conectarse a un servidor IRC y recibe los comandos correspondientes de un usuario remoto, operando como un BOT de IRC (un programa que actúa ejecutando ciertos comandos automáticamente al recibir la orden).
Cuando se ejecuta, el troyano se copia en la carpeta del sistema:
c:\windows\system32\[nombre del ejecutable]
Crea entradas en el registro de Windows para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[valor] = c:\windows\system32\[nombre del ejecutable]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
[valor] = c:\windows\system32\[nombre del ejecutable]
Intenta detectar conexiones de red activas y direcciones IP ruteables. Si no las encuentra, el gusano no se ejecutará correctamente.
El gusano se conecta a un canal de IRC, y queda a la espera de comandos de un usuario remoto, el cuál podría ejecutar acciones como las siguientes en el equipo infectado:
- Borrar el propio gusano del sistema
- Descargar archivos vía HTTP y ejecutarlos
- Finalizar la ejecución del gusano
- Finalizar procesos y borrar archivos
Para propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows, descripta en el boletín de seguridad MS05-039, el gusano busca sistemas vulnerables enviando paquetes SYN por el puerto TCP 445.
Si el ataque tiene éxito (solo en equipos con Windows 2000 sin el parche MS05-039), ejecuta un shell en el equipo remoto para descargar y ejecutar una copia de si mismo via FTP. Para ello, el gusano intentará utilizar el puerto TCP 69.
Reparación IMPORTANTE:Instalar el siguiente parche si aún no lo ha hecho:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htmDeshabilitar cualquier conexión a Internet o una redEs importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusPara borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/bozori-i.htm
