Autor Tema: W32/Dumaru.AI. Roba información confidencial  (Leído 1803 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3198
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
W32/Dumaru.AI. Roba información confidencial
« en: 03 de Junio de 2004, 05:55:55 pm »
W32/Dumaru.AI. Roba información confidencial

Nombre: W32/Dumaru.AI
Tipo: Gusano de Internet y caballo de Troya
Alias: Dumaru.AI, WORM_DUMARU.AI, W32/[email protected]
Fecha: 2/jun/04
Plataforma: Windows 32-bit
Tamaño: 19,984 bytes (FSG)
Al ejecutarse por primera vez, el gusano crea los siguientes archivos en el sistema infectado:
  c:\windows\PRNTSVR.DLL
  c:\windows\system\NETDA.EXE
  c:\windows\system\NETDC.EXE
  [carpeta de inicio]\NETDB.EXE

NOTA 1: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows
9x/ME, como "c:\winnt", "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

NOTA 2: [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
  c:\documents and settings
  \all users\menú inicio\programas\inicio
  c:\documents and settings
  \all users\start menu\programs\startup
  c:\documents and settings
  \[nombre usuario]\menú inicio\programas\inicio
  c:\documents and settings
  \[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
  c:\windows\all users\menú inicio\programas\inicio
  c:\windows\all users\start menu\programs\startup
  c:\windows\menú inicio\programas\inicio
  c:\windows\start menu\programs\startup
  c:\windows\profiles\[nombre usuario]
  \menú inicio\programas\inicio
  c:\windows\profiles\[nombre usuario]
  \start menu\programs\startup

El gusano modifica las siguientes claves del registro para autoejecutarse en cada reinicio de Windows:
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run  load32 = c:\windows\system\netda.exe
En Windows NT, 2000 o XP, crea la siguiente entrada en el registro:
  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  Shell = explorer.exe c:\windows\system32\netdc.exe

También crea la siguiente entrada para su uso interno:
  HKCU\SOFTWARE\SARS
  mailsended = [cantidad de mensajes enviados]
El componente troyano abre una puerta trasera y aguarda los comandos de un usuario remoto. Algunas acciones posibles:
- Capturar la pantalla
- Capturar la salida de la Webcam
- Cerrar un programa
- Crear o borrar directorios
- Crear o borrar un archivo
- Ejecutar programas
- Listar todos los archivos en el directorio actual
- Ver y leer archivos

Puede enviar información confidencial del usuario infectado, al atacante remoto. Esto puede incluir el contenido del portapapeles, las contraseñas protegidas (Protected Storage Data), y los datos identificatorios del usuario (login,contraseña, etc.).
El registro de toda la actividad del usuario, es almacenado en los siguientes archivos:
  \temp\FE43E701.HTM
  \temp\FEFF35A0.HTM

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
Los archivos con todo lo capturado, son enviados cada cierto tiempo (cuando llegan a determinado tamaño), a un servidor remoto en Rusia.
El gusano también modifica el archivo HOSTS, para redireccionar los sitios de fabricantes de antivirus, impidiendo que el usuario infectado acceda a ellos.

HOSTS es un archivo en formato texto, sin extensión, ubicado en \windows\ o windows\system32\drivers\etc\, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS.

Esta variante del gusano no infecta otros archivos.
Actualice sus antivirus con las últimas definiciones
Ejecútelos en modo escaneo, revisando todos sus discos
Borre los archivos detectados como infectados

* Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos:
  [carpeta de inicio]\NETDB.EXE
  \temp\FE43E701.HTM
  \temp\FEFF35A0.HTM
  c:\windows\PRNTSVR.DLL
  c:\windows\system\NETDA.EXE
  c:\windows\system\NETDC.EXE

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descrito
antes.

* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escribaREGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"hasta abrir la siguiente rama:
  HKEY_LOCAL_MACHINE
  \SOFTWARE
  \Microsoft
  \Windows
  \CurrentVersion
  \Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
  load32
4. En el panel izquierdo del editor, pinche en el signo "+"hasta abrir la siguiente rama:
  HKEY_LOCAL_MACHINE
  \SOFTWARE
  \Microsoft
  \Windows NT
  \CurrentVersion
  \Winlogon

5. Pinche en la carpeta "Winlogon" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre":
  Shell

6. Modifique el valor de "Shell" para que aparezca solo esto:
  Shell = Explorer.exe
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
  HKEY_CURRENT_USERS
  \SOFTWARE
  \SARS

8. Pinche en la carpeta "SARS" y bórrela.
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
* Restaure

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License