Worm-Backdoor.W32/Maslan.C@MM
Alias:
W32.Maslan.C@mm (Symantec), W32/Maslan.c@MM (McAfee), PE_MASLAN.C
(Trend Micro), W32/Maslan-C (Sophos), Net-Worm.Win32.Maslan.b
(Kaspersky (viruslist.com)), Backdoor.Win32.SdBot.ts (Otros)
Descripción:
Gusano que se propaga por correo electrónico y redes, capaz de
utilizar varios exploits, entre ellos el que se aprovecha de la
vulnerabilidad en el componente RPC/DCOM. También Utiliza técnicas
de Rootkit para ocultar sus propios procesos ante la mirada del
usuario.
Se transmite en un correo con la direccion del remitente falseada,
con asunto 12345 y con un fichero adjunto de nombre PlayGirls2.exe.
Detalles:
Instalación
Cuando se ejecuta, el gusano crea algunos de los siguientes
archivos:
En Windows XP y 2000, inyecta el archivo "___J.DLL" en
el proceso de SVCHOST.EXE.
Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es
un archivo legítimo de Windows XP/2000, utilizado para la ejecución
de servicios.
Crea las siguientes entradas en el registro para autoejecutarse
en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Windows DHCP = c:\windows\system32\___r.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
Cuando el gusano intenta ejecutar "___R.EXE", un error
de sobrescritura de memoria, hace que esta ejecución falle. Los
otros procesos del gusano, en cambio, seguirán funcionando.
El mensaje mostrado es el siguiente:
Propagación
Los mensajes enviados, tienen las siguientes características:
El gusano intenta finalizar los procesos activos que contengan
alguna de las siguientes cadenas de texto en sus nombres:
- _avp32.exe
- _avpcc.exe
- _avpm.exe
- anti-trojan.exe
- antivirus.exe
- atguard.exe
- aupdate.exe
- auto-protect.nav80try.exe
- autoupdate.exe
- avguard.exe
- avkpop.exe
- avkserv.exe
- avkservice.exe
- avkwctl9.exe
- avp.exe
- avp32.exe
- avpcc.exe
- avpdos32.exe
- avpm.exe
- avptc32.exe
- avpupd.exe
- cleaner.exe
- cleaner3.exe
- cleanpc.exe
- click.exe
- drwatson.exe
- drweb32.exe
- drwebupw.exe
- guard.exe
- guarddog.exe
- jammer.exe
- kavlite40eng.exe
- kavpers40eng.exe
- kavpf.exe
- kerio-pf-213-en-win.exe
- kerio-wrl-421-en-win.exe
- kerio-wrp-421-en-win.exe
- killprocesssetup161.exe
- nav.exe
- navdx.exe
- navw32.exe
- navwnt.exe
- nc2000.exe
- netmon.exe
- netutils.exe
- norton_internet_secu_3.0_407.exe
- nprotect.exe
- outpost.exe
- outpostinstall.exe
- padmin.exe
- processmonitor.exe
- rescue32.exe
- taskmg.exe
- taskmgr.exe
- taskmon.exe
- taumon.exe
- vfsetup.exe
- vir-help.exe
- virusmdpersonalfirewall.exe
- zapro.exe
- zapsetup3001.exe
- zonalm2601.exe
- zonealarm.exe
Los procesos mencionados, pertenecen a varios antivirus,
cortafuegos, etc.
El gusano utiliza técnicas de herramientas de root (rootkit),
para prevenir que archivos y procesos cuyos nombres comiencen con
tres caracteres de subrayado ("___"), sean visibles a los
usuarios. Esta acción puede ocasionar que el administrador de
tareas de Windows falle al ser abierto (CTRL+ALT+SUPR).
El gusano libera un BOT de IRC (un troyano que actúa como un
usuario de IRC, y está preparado para responder o actuar automáticamente
ejecutando ciertos comandos), el cual es copiado como ___SYNMGR.EXE
en la carpeta del sistema de Windows.
El troyano se conecta a un servidor de IRC por el puerto TCP 7000
para recibir las instrucciones de un usuario remoto.
Algunas de las acciones posibles:
- - Agregar o quitar recursos compartidos
- - Buscar otros sistemas vulnerables o
infectados
- - Capturar imagen usando la Webcam de la
víctima
- - Capturar la salida del teclado
- - Conseguir la clave de registro de
varios juegos
- - Conseguir la clave de registro de
Windows
- - Enviar correo utilizando su propio
motor SMTP
- - Habilitar o deshabilitar DCOM
- - Iniciar o terminar procesos
- - Listar procesos activos
- - Obtener contenido del portapapeles
- - Obtener el contenido del caché de
contraseñas
- - Operaciones HTTP y FTP
- - Realizar ataques de denegación de
servicio (DoS)
- - Realizar escaneos de paquetes
- - Realizar varias operaciones en IRC
- - Redireccionar puertos
Examina ordenadores remotas, para intentar explotar la
vulnerabilidad RPC/DCOM, utilizando el puerto TCP 135.
Mientras se ejecuta, monitoriza todas las ventanas de Internet
Explorer que sean abiertas cuyos nombres contengan algunas de las
siguientes cadenas:
- bank
- e-bullion
- e-gold
- evocash
- mail
- paypal
- trade
Cuando una ventana con esas características es localizada, todas
las entradas en el teclado realizadas por el usuario infectado en
dichas ventanas, es capturado, almacenado, y luego enviado a un
sitio web remoto.
Crea los siguientes archivos para almacenar la información
capturada (estos archivos son borrados y vueltos a crear varias
veces):
- c:\windows\system32\AlaDdos
- c:\windows\system32\Alaftp
- c:\windows\system32\AlaMail
- c:\windows\system32\AlaScan
El gusano busca en el disco duro, archivos cuyos nombres
contengan las siguientes cadenas en su nombre y camino completo:
- distr
- download
- setup
- share
Si el archivo encontrado tiene además
algunas de las siguientes extensiones:
- .exe
- .pif
- .rar
- .zip
Y su nombre es más largo que
"___U", entonces es copiado a una nueva ubicación,
una carpeta llamada "___B" en la raíz del disco, es
decir en C: como c:\___b.
A continuación se copia a sí mismo al comienzo del archivo
original con el mismo tamaño que los originales, y con el mismo
icono que aquellos.
El gusano busca direcciones a las que enviarse, en archivos de la
máquina infectada con las siguientes extensiones:
- .adb
- .asp
- .cfg
- .cgi
- .dbx
- .dhtm
- .eml
- .f
- .htm
- .jsp
- .mbx
- .mdx
- .mht
- .mm
- .mmf
- .msg
- .nch
- .ods
- .oft
- .php
- .sht
- .shtm
- .stm
- .tbb
- .txt
- .uin
- .uin
- .wab
- .wsh
- .xls
- .xml
Evita enviar mensajes infectados a aquellas direcciones cuyos
nombres contengan las siguientes cadenas:
- abuse
- accoun
- acketst
- admin
- anyone
- aol.com
- arin.
- avp
- berkeley
- borlan
- bsd
- bugs
- certific
- contact
- example
- feste
- fido
- foo.
- freemail.com
- fsf.
- gnu
- gold-certs
- google
- help
- hotmail.com
- iana
- ibm.com
- ietf
- info
- inpris
- isc.o
- isi.e
- kernel
- linux
- listserv
- mail.com
- math
- mit.e
- mozilla
- msn.com
- mydomai
- mysqlruslis
- nobody
- nodomai
- noone
- not
- nothing
- ntivi
- page
- panda
- pgp
- postmaster
- privacy
- rating
- rfc-ed
- ripe.
- root
- samples
- secur
- sendmail
- service
- site
- soft
- somebody
- someone
- sopho
- spam
- spm
- submit
- subscribe
- syma
- tanford.e
- test
- the.bat
- unix
- usenet
- utgers.ed
- webmaster
- www
- yahoo.com
- you
- your
Solución:
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la
infección, puede usar la característica de Restauración
del Sistema para eliminar el virus volviendo a un punto de
restauración anterior a la infección. (Tenga en cuenta que se
desharán los cambios de configuración de Windows y se eliminarán
todos los archivos ejecutables que haya creado o descargado
desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable
desactivar temporalmente la Restauración del Sistema antes de
eliminar el virus por otros medios, ya que podría haberse
creado una copia de seguridad del virus. Si necesita ayuda vea desactivar
la Restauración del Sistema en Windows Me y desactivar
la Restauración del Sistema en Windows XP.
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de
Antivirus Gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
- En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los
cambios realizados por el virus. Si necesita información sobre
cómo editar el registro puede ver esta guía
de edición del registro o este vídeo
de ayuda que ilustra el proceso. Sea
extremadamente cuidadoso al manipular el registro. Si modifica
ciertas claves de manera incorrecta puede dejar el sistema
inutilizable.
Elimine las siguientes entradas del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Windows DHCP = c:\windows\system32\___r.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
- Reincie su ordenador y explore todo el disco duro con un
antivirus para asegurarse de la eliminación del virus. Si
desactivó la restauración del sistema, recuerde volver a
activarla.
Más Información sobre este virus en:
Fuente: red.es |
