Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Danae en 17 de Enero de 2005, 06:48:20 pm
-
W32/Buchon.D. Gusano y troyano que se envía por email
Nombre: W32/Buchon.D
Nombre NOD32: Win32/Buchon.D
Tipo: Gusano de Internet y Caballo de Troya
Alias: Buchon.D, Win32/Buchon.D, W32/Buchon.gen@MM
Plataforma: Windows 32-bit
Tamaño: 36 KB (UPX)
Variante de W32/Buchon.B y W32/Buchon.A
Se trata de un gusano programado en Visual C++ 6.0.
No modifica el registro para autoejecutarse en próximos reinicios (pero si crea una entrada para el troyano "keylogger" que instala).
Utiliza un solo mensaje para propagarse y no se propaga por recursos compartidos en redes.
Cuando se ejecuta, el gusano espera 10 minutos para intentar enviarse a si mismo a direcciones encontradas en archivos del sistema infectado.
El gusano utiliza para propagarse el siguiente mensaje:
Para: [destinatario]
De: [destinatario]
Asunto: Mail Delivery failure - [destinatario]
Texto del mensaje:
If the message will not displayed automatically,
you can check original in attached message.txt
Failed message also saved at:
www. [dominio] .com/inbox/security/read.asp?sessionid-?????
(check attached instructions)
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
Datos adjuntos:
message txt length ????? bytes mcafee.com
En todos los casos, "?????" son números al azar (note que el nombre del adjunto es todo lo que está en la misma línea, y con una extensión .COM).
Cuando el adjunto es ejecutado en forma manual (al ser recibido), el gusano libera el troyano con características de keylogger, y lo copia con el siguiente nombre:
c:\csrss.exe
Cuando se ejecuta, se crea también el siguiente archivo:
c:\csrss.bin
CSRSS.EXE es un caballo de Troya que posee características de keylogger (un programa que monitorea constantemente la salida del teclado, para capturar todo lo ingresado a través de él). Para ejecutarlo en cada reinicio, el gusano crea la siguiente entrada en el registro (si la misma ya no existe por alguna ejecución anterior):
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windowsupdate Service = "c:\csrss.exe"
El archivo CSRSS.BIN almacena lo capturado desde el teclado.
El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en la unidad de disco C, que tengan menos de 10 megas:
.dat
.dbx
.eml
.mbx
.mdb
.tbb
.wab
También busca direcciones en archivos cuyos nombres contienen la siguiente cadena:
inbox
Para enviarse, utiliza su propio motor SMTP. Busca el servidor SMTP de la dirección utilizada, o utiliza uno de los siguientes servidores:
128.214.46.64
216.234.246.150
El troyano CSRSS.EXE contiene una rutina capaz de enviar paquetes SYN a direcciones IP tomadas al azar de una lista de 209 direcciones localizadas en su código. Utiliza puertos TCP al azar seleccionados entre el 28000 y el 28500.
También intenta enviar el archivo con datos (CSRSS.BIN), a algunas de esas direcciones.
Al conectarse, puede descargar y ejecutar otro archivo, el cuál es copiado en la carpeta de Windows. Cuando ello ocurre, la entrada en el registro creada antes ("Windowsupdate Service"), es borrada.
Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados por el virus.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\csrss.bin
c:\csrss.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Windowsupdate Service
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/buchon-d.htm
-
Gracias danae.
un saludo