W32/Buchon.E. y F, Gusanos y troyanos que se envían por emailNombre: W32/Buchon.E
Nombre NOD32: Win32/Buchon.E
Tipo: Gusano de Internet y Caballo de Troya
Alias: Buchon.E, Win32/Buchon.E, W32/Buchon.gen@MM,
W32/Baba-B, Email-Worm.Win32.Buchon.c, W32/Buchon.c@MM, Worm.SomeFool.AJ-unp
Plataforma: Windows 32-bit
Tamaño: 36 KB (UPX)
Variante levemente modificada de W32/Buchon.B y W32/Buchon.A
Gusano programado en Visual C++ 6.0, que no modifica el registro para autoejecutarse en próximos reinicios (pero si crea una entrada para el troyano "keylogger" que instala).
Utiliza un solo mensaje para propagarse y no lo hace por recursos compartidos en redes.
Cuando se ejecuta, el gusano espera 10 minutos para intentar enviarse a si mismo a direcciones encontradas en archivos del sistema infectado.
El gusano utiliza para propagarse el siguiente mensaje:
Asunto: Important! XXX sites found on your computer!
Texto del mensaje (en formato HTML con letras rojas):
Windows Evidence Checker has found XXX content on your
computer. You can hide your activities with Evidence
Cleaner service.
To run Evidence Cleaner click to quick shortcut
attached.
Warning! Your copy of Evidence Cleaner will be expired
after 7 days. Today you can register for FREE.
Please check attached instructions for more details.
Datos adjuntos:
quick shortcut to evidence cleaner length ?? bytes evidence-cleaner-system.com
Donde "??" es un número al azar (note que el nombre completo del adjunto es el texto mostrado arriba, en una sola línea y la extensión .COM).
Cuando el adjunto es ejecutado en forma manual (al ser recibido), el gusano libera el troyano con características de keylogger, y lo copia con el siguiente nombre:
c:\csrss.exe
Cuando se ejecuta, se crea también el siguiente archivo:
c:\csrss.bin
CSRSS.EXE es un caballo de Troya que posee características de keylogger (un programa que monitorea constantemente la salida del teclado, para capturar todo lo ingresado a través de él). Para ejecutarlo en cada reinicio, el gusano crea la siguiente entrada en el registro (si la misma ya no existe por alguna ejecución anterior):
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windowsupdate Service = "c:\csrss.exe"
El archivo CSRSS.BIN almacena lo capturado desde el teclado.
El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en la unidad de disco C, que tengan menos de 10 megas:
.asp
.cgi
.dat
.dbx
.doc
.eml
.htm
.html
.mbx
.mdb
.php
.rtf
.tbb
.txt
.wab
También busca direcciones en archivos cuyos nombres contienen la siguiente cadena:
inbox
Para enviarse, utiliza su propio motor SMTP. Busca el servidor SMTP de la dirección utilizada, o utiliza uno de los siguientes servidores:
128.214.46.64
216.234.246.150
El troyano CSRSS.EXE contiene una rutina capaz de enviar paquetes SYN a direcciones IP tomadas al azar de una lista de 209 direcciones localizadas en su código. Utiliza puertos TCP al azar seleccionados entre el 28000 y el 28500.
También intenta enviar el archivo con datos (CSRSS.BIN), a algunas de esas direcciones.
Al conectarse, puede descargar y ejecutar otro archivo, el cuál es copiado en la carpeta de Windows. Cuando ello ocurre, la entrada en el registro creada antes ("Windowsupdate Service"), es borrada.
AntivirusPara borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\csrss.bin
c:\csrss.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windowsupdate Service
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/buchon-e.htm y en
http://www.vsantivirus.com/buchon-f.htm
