El gusano Bobax: sus 4 variantes aprovechan también la vulnerabilidad del LSASS
Los datos son descargados en un archivo “dropper” llamado SVC.EXE. Este archivo libera el cuerpo principal del gusano (un .DLL) en un directorio temporal con un nombre al azar. El gusano se ejecuta inyectándose en un proceso del Explorer con una técnica llamada DLL Injection. Debido a que el gusano se ejecuta como un hilo de ejecución del propio Explorer, el mismo no es visible como un proceso separado.
> INSTRUCCIONES PARA ELIMINAR BOBAX A y B
1. Ejecute un antivirus, tome nota de la ubicación y nombre de los archivos infectados.
2. Desde Inicio, Ejecutar, escriba REGEDIT, pulse Enter para acceder al Registro del sistema.
3. Busque y elimine bajo la columna “Nombre” en la siguiente clave del registro, todas la(s) entrada(s) que contengan los nombres de archivos infectados anotados anteriormente:
HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun
6. Cierre el editor del registro.
7. Reinicie su computadora y vuelva a ejecutar un antivirus actualizado para eliminar toda presencia del troyano.
BOBAX C: Características y cómo eliminar
Cuando se ejecuta crea una copia dentro de la carpeta SYSTEM con un nombre aleatorio, lo único que permanece igual es la extensión del archivo siendo siempre .EXE.
Agrega el siguiente valor “[caracteres aleatorios]” = “System[caracteres aleatorios].exe” en la clave del registro:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
De acuerdo a la versión del sistema operativo, la carpeta “c:windowssystem32” puede variar, “c:winntsystem32”, “c:windowssystem”).
Crea un archivo al azar con la extensión .EXE dentro de la carpeta TEMP. Este archivo es realmente un archivo .DLL que contiene el gusano.
La ubicación de la carpeta “TEMP” puede ser:
En Windows 9x/ME:
c:windowsTEMP
En Windows NT, XP, 2000 y Server 2003:
c:documents and settings[usuario]local settingsTEMP
Inserta el archivo .DLL generado por el gusano dentro del Explorer.exe y termina el proceso del archivo:
[nombre aleatorio.EXE]
Escanea direcciones IP al azar intentando conectarse al puerto TCP 5000 buscando si el sistema operativo es Windows XP (vulnerabilidad en componente Universal Plug and Play, MS01-059, http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx) si el sistema es XP crea un shell (consola de comandos), a través del puerto TCP 445, intentando explotar la vulnerabilidad LSASS (MS04-011, http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx). Si el código del virus es ejecutado, se crea una conexión usando un puerto aleatorio.
El gusano se graba con el nombre SVC.EXE y se ejecuta. Abre un puerto aleatorio en espera de conexiones. Ejecuta un servidor SMTP, que permite ser usado para el envio de spam.
> INSTRUCCIONES PARA ELIMINARLO
IMPORTANTE:
Descargue e instale el parche para la vulnerabilidad LSASS (MS04-011, http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx).
1. Desactive la restauración de Windows XP.
2. Reinicie la maquina en modo a prueba de fallos.
3. Ejecute un antivirus actualizado, tome nota de los nombres y borre los archivos infectados.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna “Nombre”, la entrada con caracteres aleatorios, que hagan referencia a los archivos detectados como infectados en el punto 3, en la siguiente clave del registro:
HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
6. Cierre el editor del registro.
7. Reinicie el sistema y vuelva a ejecutar un antivirus actualizado para eliminar toda presencia del gusano.
BOBAX D: Características y como eliminarlo
Mediante la vulnerabilidad en el componente LSASS, el gusano descarga el cuerpo principal del gusano (un .DLL) en el directorio TEMP de la computadora vulnerable, utilizando un nombre al azar y la extensión .TMP.
La ubicación de la carpeta “TEMP” puede ser:
En Windows 9x/ME:
c:windowsTEMP
En Windows NT, XP, 2000 y Server 2003:
c:documents and settings[usuario]local settingsTEMP
El gusano se ejecuta y borra todos los archivos que comiencen con el carácter “~” de dicha carpeta.
Crea una copia dentro de la carpeta SYSTEM con un nombre aleatorio, y la extensión .EXE.
Agrega el siguiente valor “[caracteres aleatorios]” = “System[caracteres aleatorios].exe” en la clave del registro:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
De acuerdo a la versión del sistema operativo, la carpeta “c:windowssystem32” puede variar, “c:winntsystem32”, “c:windowssystem”).
Inserta el archivo .DLL generado por el gusano dentro del proceso usado por el Explorer.exe y termina su propia ejecución. Al estar dentro del mismo hilo de ejecución del proceso del Explorer, no es visible en la lista de tareas.
Escanea direcciones IP al azar intentando conectarse al puerto TCP 5000 buscando si el sistema operativo es Windows XP (vulnerabilidad en componente Universal Plug and Play, MS01-059, http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx). Si el sistema es XP crea un shell (consola de comandos), a través del puerto TCP 445, intentando explotar la vulnerabilidad LSASS (MS04-011, http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx). Si el código del virus es ejecutado, se crea una conexión usando un puerto aleatorio.
Abre el puerto aleatorio en espera de conexiones. Ejecuta un servidor que permite ser usado para el envio de spam y otras funciones controladas por un usuario remoto.
> INSTRUCCIONES PARA ELIMINARLO
IMPORTANTE:
Descargue e instale el parche para la vulnerabilidad LSASS (MS04-011, http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx).
1. Desactive la restauración de Windows XP.
2. Reinicie la maquina en modo a prueba de fallos.
3. Ejecute un antivirus actualizado, tome nota de los nombres y borre los archivos infectados.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna “Nombre”, la entrada con caracteres aleatorios, que hagan referencia a los archivos detectados como infectados en el punto 3, en la siguiente clave del registro:
HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
6. Cierre el editor del registro.
7. Reinicie el sistema y vuelva a ejecutar un antivirus actualizado para eliminar toda presencia del gusano.
Más información: www.enciclopediavirus.com