W32/Liber.H. Se propaga en un mensaje sobre IraqNombre: W32/Liber.H
Nombre Nod32: Win32/Liber.H
Tipo: Gusano de Internet
Alias: Liber.H, Win32/Liber.H, W32/Famus.B.worm
Plataforma: Windows 32-bit
Tamaño: 155,647 bytes
Este gusano, escrito en Visual Basic y de origen cubano, fue detectado el 25 de octubre de 2004.
El gusano utiliza la librería MSVBVM60.DLL de Windows (Visual Basic Virtual Machine), de modo que puede fallar en aquellos sistemas que no la tengan. La misma es instalada por otras aplicaciones como Office por ejemplo.
Cuando el gusano está activo en memoria, el rendimiento general de la computadora infectada puede caer sensiblemente.
Al ejecutarse, el gusano muestra una ventana de error falsa, con el siguiente texto:
File corrupted
File corrupted or bad format
[ Aceptar ]
Inmediatamente después crea los siguientes archivos en el sistema:
c:\recycled\iraq.scr
c:\windows\system32\iraq.scr
c:\windows\system32\smtp.ocx
c:\j.jpg
c:\Libertad de expresion para Cuba!!!!!!
Los archivos copiados son los siguientes:
- IRAQ.SCR (155,647 bytes) es el gusano propiamente dicho.
- SMTP.OCX (90,112 bytes), es una librería estándar utilizada para el envío de sus mensajes.
- LIBERTAD DE EXPRESION PARA CUBA!!!!!! es el nombre de un archivo de 0 bytes creado en el raíz de la unidad C:
- J.JPG, es una imagen que contiene el texto "Password:iraq"
Para autoejecutarse en cada reinicio, el gusano crea la siguiente entrada:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sav32 = c:\recycled\iraq.scr
Si la carpeta C:\RECYCLED no existe en la computadora infectada, el gusano no la crea. Cómo en Windows XP, por defecto esta carpeta (la papelera de reciclaje), no existe con ese nombre, el gusano no se ejecutará luego del primer reinicio (aunque si realizará el resto de sus acciones).
Cuando la computadora se reinicia (no en XP), el gusano vuelve a mostrar el mensaje de error anterior.
La única opción posible para continuar, es pulsar el botón aceptar o cerrar la ventana con el aspa de cierre. En cualquiera de los dos casos, en ese momento se mostrará una pantalla negra que ocupa todo el espacio del monitor, con el siguiente texto en letras blancas:
Esta computadora ha sido infectada
por el virus LIBERTAD.
Como protesta por la violación del
derecho a la libertad de expresión en
Cuba.
En estos momentos toda la información de
su
disco duro esta siendo borrada
El Hobbit A pesar de lo que indica el mensaje, el gusano no borra ningún archivo. La pantalla negra generada solo oculta el escritorio de Windows. Un usuario puede detener el proceso del gusano, si pulsa en ese momento CTRL+ALT+DEL y selecciona en la lista de aplicaciones, la llamada SCAN, o en la lista de procesos, IRAQ.SCR.
El gusano puede propagarse en un mensaje como el siguiente (o ser enviado en forma de spam con otro mensaje):
Asunto: Iraq and the crime
Texto del mensaje:
Password:iraq
what is really happening in Iraq?
the pictures of the soldiers and prisoners in Iraq
foward this message.
everybody should know the truth.
Qué está sucediendo realmente en Iraq?
Estas son las fotos de los prisioneros y los
soldados en Iraq.
Reenvia este mensaje, todo el mundo debe saber
la verdad.
Datos adjuntos: IRAQ.ZIP
El adjunto está protegido por contraseña, la cuál se indica en el texto del mensaje.
Las direcciones a las que se envía, son tomadas de archivos de la máquina infectada, con las siguientes extensiones:
.dbx
.doc
.doc
.eml
.htm
.htt
.wab
En el código del gusano, se encuentran también las siguientes direcciones y textos:
hobbit @ cubalibre .com
internetprovider .com
MICROSOFT
SEGURMATICA
NORTON
VIR
KASPER
LOCALHOST
DAEMON
Más información:
http://www.vsantivirus.com/liber-h.htmW32/Huayu.A. Utiliza el exploit en proceso LSASSNombre: W32/Huayu.A
Tipo: Gusano de Internet y Caballo de Troya
Alias: Huayu, W32.Huayu
Plataforma: Windows 32-bit
Tamaño: 49,152 bytes
Puertos: TCP 887
Este gusano que explota la vulnerabilidad de desbordamiento de búfer en el proceso LSASS de Windows (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm).
Solo se propaga por las direcciones IP entre la 211.159.93.0 y la 211.159.93.255. Este gusano abre una puerta trasera en las computadoras infectadas.
Cuando se ejecuta, se copia en la siguiente ubicación:
c:\windows\Rundll.exe
Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RundllSvr = c:\windows\Rundll.exe
Envía un mensaje de notificación a la siguiente dirección electrónica:
huayuguke @ yahoo .com .cn
Abre una puerta trasera en el siguiente puerto:
TCP/887
Escanea el siguiente rango de direcciones IP, buscando equipos vulnerables al desbordamiento de búfer en el proceso LSASS:
211.159.84.0
[...]
211.159.93.255
Nota: el rango 211.159.0.0 - 211.159.127.255, está asignado a un proveedor chino (GSNET).
Si localiza equipos vulnerables, la computadora remota puede utilizar FTP para descargar el gusano de la dirección 218.2.107.35. El archivo es copiado en la siguiente ubicación:
c:\archivos de programa\Rundll32.exe
La carpeta "C:\Archivos de Programa" puede variar en sistemas con otros idiomas (C:\Program Files, etc.).
Reparación NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htmMétodos para detener el reinicio de WindowsLa descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter):
shutdown -a
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\archivos de programa\Rundll32.exe
c:\windows\Rundll.exe
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
RundllSvr = c:\windows\Rundll.exe
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/huayu-a.htm
