Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.W32/Lovgate.P@M

Alias:
WORM_LOVGATE.P (Trend Micro)

Descripción:
Gusano con capacidades de puerta trasera que se difunde mediante carpetas compartidas y contestando a mensajes de correo electrónico recibidos con Outlook y Outlook Express.

Este gusano viene con un par de amigos, y libera en el sistema infectado a Torun.A, un troyano ladrón de contraseñas, y a Funlove.4099, un virus clásico infectador de ficheros PE (ejecutables de Windows).

Detalles:
Instalación

Cuando es ejecuta, este gusano se copia en el directorio de sistema de Windows (por defecto C:\Windows\System32 en Windows 95, 98 y ME, C:\WINNT\System32 en Windows NT y 2000, y C:\Windows\System32 en Windows XP) con los nombres:

  • rpcsrv.exe
  • syshelp.exe
  • WinGate.exe
  • winrpc.exe
  • WinRpcsrv.exe

A continuación coloca su componte de puerta trasera en la misma carpeta con los nombres:

  • 1.dll
  • ily.dll
  • reg.dll
  • rsw.dll - Este es el troyano ladrón de contraseñas Torun.A. Es un PE comprimido con UPX.
  • Task.dll

Además ejecuta el virus infectador de ficheros Funlove.4099, que infecta todos los ficheros ejecutables en discos locales y de red.

Para asegurar su ejecución automática en cada inicio de Windows, añade las siguientes entradas en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
syshelp = "%System%\syshelp.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
WinGate initialize ="%System%\WinGate.exe -remoteshell"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Remote Procedure Call Locator=
"RUNDLL32.EXE reg.dll ondll_reg"

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows
Run="rpcsrv.exe"

Además modifica la siguiente clave para ser ejecutado cada vez que se abre un fichero de texto (por defecto con extensión .txt)

HKEY_CLASSES_ROOT\txtfile\shell\open\command (Predeterminado) = "winrpc.exe %1"

En Windows NT/2000/XP añade servicios añadiendo las siguientes claves y valores:

Clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Window Remote Service Extension
Valores:
DisplayName = "Window Remote Service"
ObjectName = "LocalSystem" 
ImagePath=C:\WINNT\System32\WinRpcsrv.exe -start_server

Clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Windows Management Extension
Valores:
DisplayName = "Windows Management Extension"
ObjectName = "LocalSystem" 
ImagePath="Rundll32.exe Task.dll ondll_reg"

Propagación por red

Una vez que está activo en memoria, el gusano busca en la red local todas las carpetas compartidas con permisos de lectura y escritura, y se copia con el nombre Tamagotxi.exe

Rutina de correo electrónico

Este gusano también se propaga por correo electrónico respondiendo a todos los mensajes recibidos con Microsoft Outlook o Outlook Express y adjuntando una copia de sí mismo en el correo.

Funciones de puerta trasera

El gusano utiliza los ficheros .DLL creados anteriormente para su funcionamiento como puerta trasera. Para que sea ejecutado como servicio la próxima vez que se inicia Windows, el gusano crea estas entradas en el registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
DisplayName = "dll_reg"
ObjectName = "LocalSystem"
ImagePath="Rundll32.exe Task.dll ondll_server"

A continuación envía ficheros a hello_dll@163.com con informacíón para acceder al sistema infectado.

Otros detalles

Este gusano está escrito con Visual C++ y comprimido con ASpack

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.

    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. 

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine las siguientes entradas del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run
    syshelp = "%System%\syshelp.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run
    WinGate initialize ="%System%\WinGate.exe -remoteshell"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run
    Remote Procedure Call Locator=
    "RUNDLL32.EXE reg.dll ondll_reg"

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
    CurrentVersion\Windows
    Run="rpcsrv.exe"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
    DisplayName = "dll_reg"
    ObjectName = "LocalSystem"
    ImagePath="Rundll32.exe Task.dll ondll_server"

    Restaure la siguiente entrada del registro:

    HKEY_CLASSES_ROOT\txtfile\shell\open\command (Predeterminado) = "%SystemRoot%\system32\NOTEPAD.EXE %1"

  5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados