Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.W32/Spybot.KHC@P2P+SMB

Alias:
W32.Spybot.KHC (Symantec), W32/Spybot.KHC (PerAntivirus)

Descripción:
Gusano que se propaga a unidades compartidas de máquinas con IP aleatorias protegidas con contraseñas débiles.

También aprovecha determinadas vulnerabilidades y puertas traseras abiertas por otros códigos maliciosos para difundirse.

Actúa como puerta trasera permitiendo el acceso ilegal al sistema, dentro del cual el intruso puede realizar multitud de acciones (ejecutar ficheros, detener procesos, capturar datos, etc).

Detalles:
Cuando Worm-Backdoor.W32/Spybot.KHC@SMB es ejecutado, realiza las siguientes acciones:

1. Crea una copia de sí mismo con el nombre %System%\pingppac.exe.

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a las siguientes claves del registro de Windows:

Claves: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
Valor: "PPPOEO" = "pingppac.exe" 

3. Para deshabilitar el Modelo de Objetos Componentes Distribuido (DCOM), modifica el valor indicado en la siguiente clave del registros de Windows:

Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
Valor: "EnableDCOM" = "N" 

4. Para modificar el acceso a unidades compartidas de red, modifica el valor indicado en la siguiente clave del registros de Windows:

Clave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Valor: "restrictanonymous" = "1" 

5. Abre una puerta trasera a través del puerto TCP 8080, conectándose a un canal de IRC en el servidor def.pj34r.us.

6. Permanece en espera de recibir instrucciones procedentes del atacante remoto, quien puede realizar las siguientes acciones en el sistema afectado:

* Descargar y ejecutar archivos.
* Listar, iniciar o detener procesos y tareas.
* Ejecutar ataques de negación de servicio DoS vía ACK, SYN, UDP y ICMP.
* Redireccionar puertos TCP.
* Extraer y enviar archivos vía el canal de Chat.
* Enviar mensajes de correo usando su propio motor SMTP.
* Ejecutar servidores locales HTTP, FTP, o FTP.
* Capturar teclas pulsadas en el teclado.
* Acceder a recursos compartidos y copiarse a los mismos.
* Rastrear puertos para acceder a servidores con determinadas vulnerabilidades.
* Capturar imagenes de pantalla, datos del portapapeles y tomas de cámaras Web.
* Visitar direcciones URL.
* Saturar los cache de DNS y ARP.
* Abrir o ejecutar un comando shell en los sistemas infectados.
* Activar un Proxy con un SOCKS4.
* Agregar y borrar recursos compartidos y deshabilitar el DCOM.
* Borrar valores de registros de otros programas o gusanos.
* Reiniciar el sistema en forma remota.
* Interceptar paquetes en la red local.
* Robar las contraseñas de usuarios de Windows, ubicada en la memoria temporal.

7. Busca equipos vulnerables a uno o más de las siguientes vulnerabilidades:

* Vulnerabilidad DCOM RPC por el puerto TCP 135, descrita en el Boletín de Seguridad de Microsoft MS03-026.

* Servicio Remoto de Control de Seguridad de Desbordamiento del Buffer. (MS04-011).

* Desbordamiento del Buffer de Servicios de Estaciones de Trabajo por el puerto 445. (MS03-049).
Los usuarios de Windows XP están protegidos frente a esta vulnerabilidad si han aplicado el MS03-043.
Los usuarios de Windows 2000 deben aplicar el MS03-049.

* Desbordamiento del Buffer del Universal Plug and Play. (MS01-059).

* Servidor de Mini Control Remoto del DameWare, descrita en CAN-2003-0960.

* Fallo en VERITAS Backup Exec Agent Browser, descrito en http://seer.support.veritas.com/docs/273420.htm.

* Fallo en la autenticación de usuarios de Microsoft SQL Server por el puerto UDP 1434. (MS02-056).

* Fallo de Denegación de Servicio en Microsoft Windows SSL Library. (MS04-011).

8. Se propaga haciendo uso de las puertas traseras abiertas por variantes de los gusanos Beagle, Sasser, y Mydoom y de los troyanos NetDevil, Subseven, Kuang y Optix.

9. Roba las claves de CD de ciertos programas de ordenador.

10. Se propaga a equipos con direcciones IP generadas aleatoriamente, copiándose es las unidades compartidas de dichas máquinas.

Worm-Backdoor.W32/Spybot.KHC@SMB intenta utilizar las contraseñas incluidas en la siguiente lista para acceder a esas unidades compartidas:

* 7
* 123
* 1234
* 12345
* 123456
* 1234567
* 12345678
* 123456789
* 1234567890
* 2000
* 2001
* 2002
* 2003
* 2004
* access
* accounting
* accounts
* adm
* administrador
* administrat
* administrateur
* administrator
* admins
* asd
* backup
* bill
* bitch
* blank
* bob
* brian
* changeme
* chris
* cisco
* compaq
* computer
* control
* data
* database
* databasepass
* databasepassword
* db1
* db1234
* db2
* dba
* dbpass
* dbpassword
* default
* dell
* demo
* domain
* domainpass
* domainpassword
* eric
* exchange
* fred
* fuck
* george
* god
* guest
* hell
* hello
* home
* homeuser
* ian
* ibm
* internet
* intranet
* jen
* joe
* john
* kate
* katie
* lan
* lee
* linux
* loginpass
* luke
* mail
* main
* mary
* mike
* neil
* nokia
* none
* null
* oem
* oeminstall
* oemuser
* office
* oracle
* orainstall
* outlook
* owner
* pass
* pass1234
* passwd
* password
* password1
* peter
* pwd
* qaz
* qwe
* qwerty
* sam
* server
* sex
* siemens
* slut
* sql
* sqlpassoainstall
* staff
* student
* sue
* susan
* teacher
* technical
* test
* unix
* web
* win2000
* win2k
* win98
* windows
* winnt
* winpass
* winxp
* www
* wwwadmin
* zxc

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
     
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el archivo.

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de las siguientes claves del registro de Windows, el valor indicado:

    Claves: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_CURRENT_USER\Software\Microsoft\OLE
    Valor: "PPPOEO" = "pingppac.exe" 

    Restaure de la siguiente manera, los valores citados que han sido alterados por acción del gusano:

    Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
    Valor: "EnableDCOM" = "Y" 

    Clave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    Valor: "restrictanonymous" = "1" 

  5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados