Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Randex.AK

Alias:
WORM_RANDEX.AK (Trend Micro)

Descripción:
Gusano residente en memoria que se propaga por recursos compartidos en red. Utiliza funciones NetBEUI para capturar información de acceso,  usuarios/claves, que después utilizará para dejar copias de si mismo en los recursos detectados.

Abre diversos puertos de comunicación para conectar con un canal específico de un servidor IRC desde el que recibirá instrucciones que será ejecutadas en el sistema infectado.

También será capaz de  capturar las claves de acceso a de ciertas aplicaciones de conocidos juegos en red.

Detalles:
Instalación

Cuando se ejecuta por primera vez, se copia en la carpeta del sistema de Windows c:\windows\system\ con el nombre msngmsg.exe

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Añade las sigientes entradas en los registros indicados para inicirase junto al arranque de WIndows:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
System-Config = "msngmsg.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
System-Config = "msngmsg.exe"

Estas entradas en el registro, también serán utilizadas para la ejecución de procesos de servicio en sistemas Windows NT, 2000, y XP.

Además creará las siguientes entradas:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
System-Config = "msngmsg.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer\Run
COM Service = "gayZZ.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\policies\Explorer\Run
COM Service = "gayZZ.exe"

El gusano modifica o crea las siguientes entradas para impedir la ejecución de varias aplicaciones:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
DisallowRun

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
RestrictRun

Las aplicaciones afectadas son:
  • avpcc.exe
  • cfgwiz.exe
  • navapw32.exe
  • netstat.exe
  • ogrc.exe
  • pccclient.exe
  • pccguide.exe
  • regedit.exe
  • tds-3.exe
  • thguard.exe

En Windows 95, 98 y Me, también modifica las siguientes entradas para prevenir el uso del editor del registro (REGEDIT):

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools

Esta modificación provocará la apraición del mensaje "El administrador ha deshabilitado la edición del registro" cuando se intenta ejecutar REGEDIT.

También borra las siguientes entradas si se encuentran instaladas en el sistema, bajo la clave

"HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run":

  • PCCClient.exe
  • pccguide.exe
  • Pop3trap.exe
  • NAV Agent
  • NAV CfgWiz
  • OfficeGuard RegChecker
  • AVPCC

Nota: Estas aplicaciones deberán ser reparadas, reinstaladas o configuradas según el caso, para que se ejecuten al iniciarse Windows en el caso de que el gusano consiga desahbilitarlas.

Propagación por la red

El gusano utilizará funciones NetBEUI para capturar información de acceso como usuarios y sus claves.

Con NTSCAN calcula direcciones IP al azar para seleccionar máquinas a infectar.

Intenta acceder a cada dirección IP creada, usando diferentes contraseñas.

Luego se copia a si mismo en las máquinas cuyas contraseñas de administrador sean débiles en la siguiente ubicación, donde [IP] es la dirección IP accedida:

  • \\[IP]\c$\msngmsg.exe
  • \\[IP]\c$\winnt\system32\msngmsg.exe
  • \\[IP]\c$\windows\system32\msngmsg.exe
  • \\[IP]\Admin$\system32\msngmsg.exe

    Cada copia descargada será ejecutada cono servicio en la máquina accedida.

Capacidades de Puerta Trasera (Backdoor)

El gusano es capaz de conectar con un canal predeterminado en un servidor IRC, donde esperará la conexión del atacante que podrá realizar acciones como las siguientes:

  • Añadir o eliminar recursos compartidos en red.
  • Cambiar de servidor y canal IRC
  • Descargar y ejecutar ficheros
  • Emular un servidor HTTP
  • Habilitar el portocolo DCOM
  • Capturar información del sistema:
      SYSINFO le facilitará infomación sobre velocidad de la CPU, memoria disponible, etc.
  • Listar y finalizar la ejecución de procesos y servicios
  • Redireccionar conexiones
  • Buscar puertos de escucha en la red local
  • Enviar correos vía SMTP
  • Tomar capturas de pantalla
  • Realizar ataques de denegación de servicio

Denegación de servicio

Posee capacidades para lanzar ataques distribuidos de denegación de servicio (DDoS) ppor inundación(Flood), utilizando diferentes métodos:

  • Syn flood utilizando paquetes de 55808 bytes.
  • Ping flood
  • UPD flood

Robo de claves de juegos

También intenta robar las claves de registro de algunos conocidos juegos:

  • Battlefield 1942
  • Battlefield 1942 The Road to Rome
  • Battlefield Vietnam
  • C&C Generals
  • Call of Duty
  • CounterStrike
  • FIFA 2003
  • Halflife
  • IGI 2 Retail
  • Need For Speed Hot Pursuit 2
  • Need For Speed Underground
  • Neverwinter
  • RavenShield
  • Soldier of Fortune II - Double Helix
  • UT2003

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
     
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine las siguientes entradas del registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\
    Windows\CurrentVersion\Run
    System-Config = "msngmsg.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\
    Windows\CurrentVersion\RunServices
    System-Config = "msngmsg.exe"

    HKEY_CURRENT_USER\Software\Microsoft\
    Windows\CurrentVersion\Run
    System-Config = "msngmsg.exe"

    HKEY_CURRENT_USER\Software\Microsoft\
    Windows\CurrentVersion\Policies\Explorer\Run
    COM Service = "gayZZ.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\
    Windows\CurrentVersion\policies\Explorer\Run
    COM Service = "gayZZ.exe"

    Restaure las siguientes entradas del registro:

    HKCU\Software\Microsoft\Windows
    \CurrentVersion\Policies\Explorer
    DisallowRun

    HKCU\Software\Microsoft\Windows
    \CurrentVersion\Policies\Explorer
    RestrictRun

    Seleccione las carpetas "RestrictRun" y "DisallowRun" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
    • avpcc.exe
    • cfgwiz.exe
    • navapw32.exe
    • netstat.exe
    • ogrc.exe
    • pccclient.exe
    • pccguide.exe
    • regedit.exe
    • tds-3.exe
    • thguard.exe

    HKCU\Software\Microsoft\Windows
    \CurrentVersion\Policies\System
    DisableRegistryTools

  5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados