Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Darker.A@P2P+MM

Alias:
W32/Darker.A.worm (Panda Software), W32.Darker@mm (PerAntivirus), I.worm.Darker@mm (Kaspersky (viruslist.com)), W32/Darker.worm!p2p (McAfee), W32.Darker.Worm (Symantec)

Descripción:
Darker.A es un gusano con características de puerta trasera que se propaga a través del correo electrónico, de los programas de intercambio de ficheros P2P (peer to peer - entre pares) y de los recursos compartidos de red.

Darker.A termina procesos activos correspondientes a diversos programas antivirus, cortafuegos y herramientas de monitorización del sistema. Esto deja al ordenador afectado vulnerable frente al ataque de otros virus, gusanos y troyanos.

Darker.A accede al ordenador afectado, conectándose a un servidor IRC y esperando órdenes de control para llevar a cabo las siguientes acciones: descargar, ejecutar y borrar ficheros, obtener información del sistema y de las pulsaciones del teclado, entre otras.


Detalles:
Efectos

Darker.A produce los siguientes efectos:

  • Termina procesos activos correspondientes a diversos programas antivirus, firewalls y herramientas de monitorización del sistema. Esto deja al ordenador afectado vulnerable frente al ataque de otros virus, gusanos y troyanos.
  • Se conecta al servidor IRC darkirc.solidbox.com para recibir las siguientes órdenes de control, entre otras:
    • Descargar, ejecutar y borrar ficheros en el ordenador afectado.
    • Obtener información del sistema.
    • Capturar las pulsaciones del teclado.
    • Finalizar programas antivirus.
    • Enviarse a sí mismo a través del correo electrónico.
    • Ejecutar comandos ICMP.
    • Permite tener acceso al ordenador afectado.

Metodo de Infección

Darker.A crea el fichero SVCHOST.EXE en el directorio de Windows. Este fichero es una copia del gusano.

Darker.A crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
“ServiceProcess” = %windir%\svchost.exe

donde %windir% es el directorio de Windows. Con ello consigue ejecutarse cada vez que se inicia Windows.

Método de Propagación

Darker.A se propaga a través del correo electrónico, de los programas de intercambio de ficheros P2P y de los recursos compartidos de red.

1.- Propagación a través del correo electrónico.

Cuando Darker.A recibe la orden de control !spread, utiliza la librería MAPI para enviarse a sí mismo a todos los contactos de la Libreta de direcciones.

El mensaje presenta las siguientes características:

Asunto:
Microsoft windows Outlook Express urgent updates
Contenido:
There is a new virus spreading called Win32.darkirc virus. 
This email was sent to you as a precaution as ur version 
of OutLook Express has not been updated. Patch available 
attached to the email
Fichero adjunto:
SVCHOST.EXE

2.- Propagación a través de los programas de intercambio de ficheros punto a punto.

Darker.A realiza el siguiente proceso:

  • Crea copias de sí mismo en los directorios compartidos de los programas KaZaA, KaZaA Lite, Morpheus y Grokster.
  • Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros creados por Darker.A, pensando que se trata de aplicaciones informáticas interesantes, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Darker.A.

3.- Propagación a través de redes compartidas.

Darker.A comprueba si el ordenador afectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas. Para ello, intenta ganar acceso a dichas unidades, empleando contraseñas que son típicas o fáciles de adivinar.

Otros Detalles

Darker.A está escrito en el lenguaje de programación Delphi versión 5. El gusano tiene un tamaño de 37376 Bytes cuando se encuentra comprimido mediante UPX, y de 98304 Bytes una vez descomprimido.

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP. 

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.. Repare o borre el fichero infectado.

    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. 
  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero. 
  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta Guía de edición del registro o este video de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine las siguientes entradas del registro:

    HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    “ServiceProcess” = %windir%\svchost.exe

  5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados