Back/Rbot.BPH. Utiliza la vulnerabilidad RPC/DCOMNombre: Back/Rbot.BPH
Nombre NOD32: Win32/Rbot.BPH
Tipo: Caballo de Troya de acceso remoto
Alias: Rbot.BPH, Backdoor.Win32.Rbot.dx, Win32.HLLW.MyBot, Worm/Wurmark.a.2, IRC/BackDoor.SdBot.87.Z, Backdoor.Rbot.DX, W32/Gaobot.BXG.worm, Win32/Rbot.BPH
Plataforma: Windows 32-bit
Este troyano suele ser liberado por el gusano "Wurmark" (ver "W32/Wurmark.A. Datos adjuntos: ATTACHED.ZIP",
http://www.vsantivirus.com/wurmark-a.htm, "W32/Wurmark.B. Datos adjuntos: ATTACHED.ZIP",
http://www.vsantivirus.com/wurmark-b.htm)
Se copia en el directorio System (o System32) de Windows:
c:\windows\system32\winit.exe
Para ejecutarse en cada reinicio de Windows, crea la siguiente clave en el registro:
HKCU\Software\Microsoft\OLE
virtual = winit.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
virtual = winit.exe
También crea la siguiente entrada en el registro cuando se ejecuta:
HKLM\SYSTEM\CurrentControlSet\Services\SVKP
HKCR\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
El troyano contiene código para explotar la vulnerabilidad RPC/DCOM y también la que afecta al componente LSASS. Para ello, escanea la subred local (clase B), enviando paquetes SYN al puerto TCP/445, en busca de equipos que respondan.
Puede propagarse por recursos compartidos (ADMIN$, IPC$, C$, D$) aprovechándose de contraseñas de administrador débiles.
Intenta conectarse al siguiente dominio:
windowss .serveftp .com
Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\ansmtp.dll
c:\windows\system32\attached.zip
c:\windows\system32\bszip.dll
c:\windows\system32\svkp.sys
c:\windows\system32\uglym.jpg
c:\windows\system32\winit.exe
c:\windows\system32\xxz.tmp
NOTA: algunos de estos archivos son agregados por el gusano "Wurmark", y pueden no estar presentes.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNOTA: algunos de estas entradas son agregadas por el gusano "Wurmark", y pueden no estar presentes.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\ANSMTP.MassSender
3. Haga clic en la carpeta "ANSMTP.MassSender" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
5. Haga clic en la carpeta "CLSID" y busque y borre las siguientes carpetas:
{253664FB-EDFC-4AC6-BD69-B322F466AEED}
{887A577B-406B-48FF-80CB-70752BFCD7B4}
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\Interface
7. Haga clic en la carpeta "Interface" y busque y borre las siguientes carpetas:
{1E98666F-6260-42C9-B846-32B20FDEFE7B}
{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
{B13281CF-8778-4C98-AE23-ABBA4637A33D}
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\TypeLib
\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
9. Haga clic en la carpeta "{DE6317F7-6EF0-45C2-88D1-8E09415817F1}" y bórrela.
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
11. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
virtual = winit.exe
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
13. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
virtual = winit.exe
14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SVKP
15. Haga clic en la carpeta "SVKP" y bórrela.
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/back-rbot-bph.htm
