Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Danae en 23 de Agosto de 2005, 07:21:50 pm
-
Esbot.C. Utiliza vulnerabilidad Plug and Play
Nombre: Esbot.C
Nombre NOD32: Win32/IRCBot.OO
Nombre más conocido: Esbot.C
Tipo: Gusano y caballo de Troya de acceso remoto
Alias: Esbot.C, IRCBot.OO, BackDoor.IRC.Sdbot.126, Backdoor.IRCBot.ex, Backdoor.Win32.IRCBot.ex, Backdoor/IRCBot.ex, Bck/IRCBot.KN, BehavesLike:Win32.IRC-Backdoor, IM-Worm.Win32.Opanki.O, IRC/BackDoor.SdBot.HLV, Trojan.Ircbot.Ex, W32.Esbot.C, W32.IRCBot.Gen, W32/Cuebot-D, W32/IRCBot.EX-bdr, W32/Sdbot.worm.gen.by, W32/Suspicious_M.gen, Win32.Esbot.D, Win32/IRCBot.8275!Worm, Win32/IRCBot.OO, Worm/IRCBot.EX
Plataforma: Windows 32-bit
Tamaño: 8,275 bytes (PE_PATCH, MEW)
Puerto: TCP 18067
Gusano y caballo de Troya de acceso remoto que se propaga utilizando la vulnerabilidad descripta en el boletín MS05-039 de Microsoft:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htm
Esta vulnerabilidad solo puede ser explotada en equipos con Windows 2000 sin el parche MS05-039 instalado.
Cuando se ejecuta, abre una puerta trasera que permite a un usuario remoto acceso no autorizado al equipo infectado, y la posibilidad de controlarlo vía IRC.
El gusano puede causar inestabilidad en el sistema.
Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system32\ssl.exe
También crea el siguiente archivo con atributos de solo lectura (+R):
c:\windows\debug\dcpromo.log
Crea y ejecuta el siguiente servicio (con inicio automático):
Nombre de servicio: ssl
Nombre para mostrar: Microsoft SSL
Ruta de acceso al ejecutable: [camino]\ssl.exe
Para ello, crea la siguiente entrada en el registro:
HKLM\SYSTEM\CurrentControlSet\Services\ssl
Se inyecta a si mismo en el proceso del EXPLORER.EXE.
Crea o modifica los siguientes valores del registro, para deshabilitar DCOM y restringir el acceso de usuarios anónimos a los recursos compartidos en red:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous" = "1"
Se conecta al siguiente servidor de IRC por el puerto TCP 18067 y queda a la espera de comandos enviados por un usuario remoto:
ypgw.wallloan.com
Los comandos enviados, permiten a un atacante cualquiera de las siguientes acciones entre otras posibles:
- Descargar y ejecutar archivos
- Listar, detener e iniciar procesos e hilos de ejecución
- Lanzar ataques de denegación de servicio (DoS)
- Buscar archivos en los discos locales
- Buscar equipos afectados por la vulnerabilidad MS05-039
Esta última acción, si es exitosa, permite el envío y ejecución del código del troyano a los equipos vulnerables.
Crea el siguiente mutex para no ejecutarse más de una vez en memoria:
ssl
Otra variante de Win32/IRCBot.OO:
IRCBot.OO. Descarga archivos, utiliza vulnerabilidad
http://www.vsantivirus.com/ircbot-oo.htm
Reparación IMPORTANTE:
Instalar el siguiente parche si aún no lo ha hecho:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htm
Buscar y detener el servicio (Windows XP):
1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse Enter.
2. En la lista de servicios busque "Microsoft SSL".
3. Haga doble clic sobre ese servicio, y haga clic en el botón "Detener" si corresponde.
4. Cambie el "Tipo de inicio" a Manual.
5. Haga clic en "Aceptar" y cierre la ventana de Servicios.
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ole
3. Haga clic en la carpeta "Ole" y en el panel de la derecha, busque y cambie la siguiente entrada a SI (Y):
EnableDCOM = "Y"
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
5. Haga clic en la carpeta "Lsa" y en el panel de la derecha, busque y cambie la siguiente entrada a CERO:
restrictanonymous = "0"
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
7. Haga clic en la carpeta "Services" y busque y borre la siguiente subcarpeta:
\ssl
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/esbot-c.htm