W32/Janx.A. Utiliza la vulnerabilidad LSASSNombre: W32/Janx.A
Tipo: Gusano de Internet
Alias: Janx, Win32/Janx.A, W32.Janx
Plataforma: Windows 2000, XP
Tamaño: 13,312 bytes
Puertos: TCP 445, 5533, 5534
Gusano que explota la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm).
Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.
LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático como Sasser, capaz de propagarse por las redes.
El gusano se propaga buscando equipos vulnerables en direcciones IP seleccionadas al azar, intentando conectarse por el puerto TCP 445. Antes, ejecuta un servidor FTP en el puerto TCP 5533, que es utilizado luego para descargar el ejecutable del gusano en los equipos encontrados.
Si la conexión se realiza, el gusano crea un shell en el equipo remoto, en el puerto TCP 5534 de dicho equipo. Luego utiliza ese shell para conectarse al servidor FTP en el puerto 5533, y descargar una copia de si mismo, la que luego ejecuta.
También intenta conectarse a un servidor IRC en la dirección IP 203.167.78.35, para recibir comandos de un usuario remoto.
Un equipo infectado, verá degradada notoriamente su rendimiento en Internet.
Cuando se ejecuta, el gusano se copia con alguno de los siguientes nombres en la carpeta de Windows:
c:\windows\pnphost.exe
c:\windows\upnphost.exe
c:\windows\winpnp.exe
También crea el siguiente servicio:
Nombre de servicio: WUClient
Nombre para mostrar: Windows Update Client
Ruta de acceso al ejecutable: c:\windows\[nombre gusano]
Reparación manualNOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
IMPORTANTE:Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04- 011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm Buscar y detener el servicio (Windows XP):1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse Enter.
2. En la lista de servicios busque "Windows Update Client".
3. Haga doble clic sobre ese servicio, y haga clic en el botón "Detener" si corresponde.
4. Cambie el "Tipo de inicio" a Manual.
5. Haga clic en "Aceptar" y cierre la ventana de Servicios.
* AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos (no todos estarán presentes):
c:\windows\pnphost.exe
c:\windows\upnphost.exe
c:\windows\winpnp.exe
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
* Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Services\WUClient
3. Haga clic en la carpeta "WUClient" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+"hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WUClient
5. Haga clic en la carpeta "WUClient" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo "+"hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WUClient
7. Haga clic en la carpeta "WUClient" y bórrela.
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,Reiniciar).
* Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
* Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema
Más información:
http://www.vsantivirus.com/janx-a.htm
