W32/Maslan.A. Utiliza recursos compartidos, IRCNombre: W32/Maslan.A
Nombre Nod32: Win32/Maslan.A
Tipo: Gusano de Internet y caballo de Troya
Alias: Email-Worm.Win32.Maslan.a, Exploit.DCOM.Gen, Exploit-Lsass.g.gen, Win32/Maslan.A, Worm.Win32.Zusha.a, Worm/Zusha.A, WORM_RBOT.YG, Zusha
Plataforma: Windows 32-bit
Tamaño: 89,600 bytes
Se trata de un gusano de redes, capaz de propagarse utilizando varios exploits, entre ellos el que se aprovecha de la vulnerabilidad en el componente LSASS, corregida por Microsoft en abril de 2004 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm).
Luego de ejecutarse, el gusano descarga y ejecuta archivos adicionales de Internet. Estos archivos son a su vez troyanos del tipo "downloaders", o sea códigos que descargan otros programas.
Los archivos descargados, pueden eliminar los procesos de diversas aplicaciones de seguridad, incluyendo cortafuegos. También pueden modificar la configuración del cortafuegos de Windows XP, de tal modo que otros programas descargados por el gusano (troyanos), puedan comunicarse de y hacia Internet sin el conocimiento del usuario infectado.
Finalmente, se libera y ejecuta un componente de acceso remoto por puerta trasera (backdoor), en todos los sistemas infectados, con la posibilidad de comunicarse entre ellos.
El gusano crea el siguiente archivo:
c:\windows\system32\exename.exe
Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Ole
Blah service = c:\windows\system32\exename.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blah service = c:\windows\system32\exename.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Blah service = c:\windows\system32\exename.exe
El gusano puede propagarse a través de redes, copiándose en los siguientes recursos compartidos:
admin$
c$
ipc$
Para ello utiliza la cuenta del usuario actual, o una extensa lista interna con nombres de usuario y contraseñas.
Además, puede copiarse a sistemas infectados con otros troyanos y gusanos que abren puertas traseras (Optix, Sub7, Bagle, Mydoom, etc.)
También puede propagarse utilizando la aplicación DameWare (una utilidad para la administración de sistemas de empresas para Windows NT/2000/XP/2003).
El gusano puede actuar como un BOT de IRC (un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos). Para ello se conecta al siguiente servidor para recibir las instrucciones de un usuario remoto:
irc .sykonet .org
Algunas de las acciones posibles:
- Operaciones HTTP y FTP
- Realizar ataques de denegación de servicio (DoS)
- Agregar o quitar recursos compartidos
- Habilitar o deshabilitar DCOM
- Redireccionar puertos
- Realizar varias operaciones en IRC
- Listar procesos activos
- Iniciar o terminar procesos
- Obtener contenido del portapapeles
- Capturar imagen usando la Webcam de la víctima
- Enviar correo utilizando su propio motor SMTP
- Obtener el contenido del caché de contraseñas
- Realizar escaneos de paquetes
- Capturar la salida del teclado
- Buscar otros sistemas vulnerables o infectados
- Conseguir la clave de registro de Windows
- Conseguir la clave de registro de los siguientes juegos:
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
Counter-Strike (Retail)
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
Reparación
IMPORTANTE:Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Ole
3. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre la entrada que haga referencia al siguiente archivo:
Blah service
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre la entrada que haga referencia al siguiente archivo:
Blah service
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre la entrada que haga referencia al siguiente archivo:
Blah service
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Activar el cortafuegos de Windows XP y la conexión compartida de Windows 2000
En Windows XP SP21. Abra el Panel de Control, haga doble clic en el icono "Centro de Seguridad"
2. Active el cortafuego de Windows (si este se encuentra desactivado).
3. Cierra la ventana del cortafuego, cierre el Centro de Seguridad, por ultimo cierre el panel de control.
En Windows 2000 o Windows XP SP11. Haga clic en el botón Inicio, Ejecutar e ingrese lo siguiente:
services.msc
2. Presione el botón Aceptar.
* En Windows 2000 en la columna nombre localice el servicio "Conexión compartida a Internet (ICS)" y haga doble clic en el.
* En Windows XP en la columna nombre localice el servicio "Conexión de seguridad a Internet (ICF) / Conexión compartida a Internet (ICS)" y haga doble clic en el.
3. En la opción "Tipo de inicio" seleccione en el menú desplegable "Automático".
4. Bajo la opción "Estado del servicio" presione el botón "Iniciar".
5. Haga clic en el botón "Aceptar".
6. Reinicie el equipo.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información;
http://www.vsantivirus.com/maslan-a.htm
