VSantivirus No. 727 - Año 6 - Jueves 4 de julio de 2002

VSantivirus No. 727 - Año 6 - Jueves 4 de julio de 2002

VSantivirus No. 727 - Año 6 - Jueves 4 de julio de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Troj/Backdoor.Assasin. Acceso remoto y borrado de AV
2 - Troj/Backdoor.Anakha. Permite ataques a través del IRC
3 - W32/Metrion.B. Sobrescribe archivos .BAT, .VBS y .CPP
_____________________________________________________________

1 - Troj/Backdoor.Assasin. Acceso remoto y borrado de AV
_____________________________________________________________

http://www.vsantivirus.com/back-assasin.htm

Nombre: Troj/Backdoor.Assasin
Tipo: Caballo de Troya
Alias: Backdoor.Assasin, Backdoor.Assasin.10
Fecha: 3/jul/02
Tamaño: 189,440 bytes
Plataformas: Windows 32-bits
Puerto por defecto: 27589

Este caballo de Troya permite el acceso no autorizado a la
computadora infectada. Intenta finalizar procesos
relacionados con varios ejecutables pertenecientes a
conocidos antivirus y cortafuegos. Esta acción no solo deja
desprotegido al sistema, sino que causa la inestabilidad y el
comportamiento errático de Windows.

Cuando se ejecuta por primera vez, el troyano despliega un
falso mensaje de error con el siguiente texto:

Invalid Jpeg Image

Esto disimula la verdadera naturaleza del archivo, que en
realidad es un troyano.

Este se activa al ser ejecutado por el propio usuario, por lo
tanto se recomienda no abrir archivos enviados sin su
consentimiento, ni ejecutar nada descargado de Internet, o
copiado de disquetes, CDs, etc., sin revisarlo antes con uno
o dos antivirus al día.

Una vez activo, el troyano habilita un servidor para permitir
el acceso remoto por una puerta trasera al sistema
(backdoor). Para conectarse habilita varios sockets (un
SOCKET es un canal de comunicación que se abre entre un
puerto de la computadora local y aquella a la que se conecta
a través de la red).

También se copia a si mismo en la carpeta de Windows:

C:\Windows\Ms spool32.exe

‘C:\Windows’ puede variar de acuerdo a la versión de Windows
instalada (C:\Windows, C:\WinNT, etc.)

Luego, agrega la siguiente entrada al registro, para poderse
ejecutar en forma automática luego de cada reinicio del
sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Ms Spool32 = MS SPOOL32.EXE

También crea la siguiente entrada:

HKEY_LOCAL_MACHINE\Software\
TVP,MGNEYU4

Luego crea el siguiente archivo:

C:\Windows\Ms spool32.dat

Este archivo contiene los nombres de los ejecutables que el
troyano intentará quitar de memoria, finalizando sus
respectivos procesos.

Esto deshabilita los siguientes ejecutables cada vez que el
troyano está activo:

Agentsvr.exe
Ahnsd.exe
Alogserv.exe
Anti-Trojan.exe
Ants.exe
Aplica32.exe
Apvxdwin.exe
Atcon.exe
Atupdater.exe
Atwatch.exe
Autoupdate.exe
Avconsol.exe
Avgserv9.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpm.exe
Avsynmgr.exe
Blackd.exe
Blackice.exe
Cdp.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Cleaner.exe
Cleaner3.exe
Cmgrdian.exe
Css 1631.exe
Defscangui.exe
Defwatch.exe
Drwatson.exe
Fast.exe
Frw.exe
Fsav.exe
Gbmenu.exe
Gbpoll.exe
Guard.exe
Guarddog.exe
Iamapp.exe
Iamserv.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Jammer.exe
Lockdown.exe
Lockdown2000.exe
Luall.exe
Lucomserver.exe
Mcagent.exe
Mcupdate.exe
Minilog.exe
Monsys32.exe
Monsysnt.exe
Moolive.exe
Msconfig.exe
Mssmmc32.exe
Navapw32.exe
Navw32.exe
Ndd32.exe
Netstat.exe
Nprotect.exe
Nsched32.exe
Ntvdm.exe
Nvarch16.exe
Nwtool16.exe
Outpost.exe
Padmin.exe
Pavproxy.exe
Pcfwallicon.exe
Persfw.exe
Poproxy.exe
Pview95.exe
Qserver.exe
Regedit.exe
Rtvscn95.exe
Rulaunch.exe
Safeweb.exe
Shedapp.exe
Sphinx.exe
Spyxx.exe
Ss3edit.exe
Sysedit.exe
Taskmgr.exe
Taumon.exe
Tc.exe
Tca.exe
Tcm.exe
Tds-3.exe
Tds2-98.exe
Tds2-Nt.exe
Trjscan.exe
Update.exe
Vbcmserv.exe
Vbcons.exe
Vpc42.exe
Vptray.exe
Vsecomr.exe
Vshwin32.exe
Vsmain.exe
Vsmon.exe
Vsstat.exe
Watchdog.exe
Webscanx.exe
Wgfe95.exe
Wradmin.exe
Wrctrl.exe
Wrctrl.exe
Zapro.exe
Zatutor.exe
Zonealarm.exe
_Avp32.exe
_Avpcc.exe
_Avpm.exe

* Reparación manual

Para eliminar manualmente este gusano de un sistema
infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale la
siguiente:

Ms Spool32

3. Seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última
opción en la lengüeta Procesos.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

Ms Spool32

7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Troj/Backdoor.Anakha. Permite ataques a través del IRC
_____________________________________________________________

http://www.vsantivirus.com/back-anakha.htm

Nombre: Troj/Backdoor.Anakha
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Anakha, Backdoor.Trojan,
Trojan.Win32.Anakha.b, BackDoor-UY, Troj/Anaka-B
Variante: Backdoor.Anakha.dr
Fecha: 26/jun/02
Tamaño: 71,680 bytes (ASPack)
Plataformas: Windows 32-bits

Este troyano permite a un atacante utilizar el IRC para
obtener el control remoto de la máquina infectada, a través
de puertos TCP/UDP.

El troyano está escrito en Visual Basic y comprimido con la
utilidad ASPack, y debe ser ejecutado por el usuario para
ejecutarse la primera vez. Se recomienda no abrir archivos
enviados sin su consentimiento, ni ejecutar nada descargado
de Internet o cuya fuente sean disquetes, CDs, etc., sin
revisarlo antes con uno o dos antivirus al día.

Cuando el troyano se ejecuta, se copia a si mismo en el
siguiente archivo:

C:\Windows\System\ShellEx.exe

El nombre 'Windows\System' puede cambiar de acuerdo a la
versión de Windows instalada (C:\Windows\System,
C:\Winnt\System32, etc.).

Luego crea la siguiente entrada en el registro que le permite
volver a ejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ShellEx = C:\Windows\System\ShellEx.exe

También genera el siguiente archivo de texto que no contiene
ningún código viral:

C:\Windows\System\Rundll32.pin

Luego, abre al azar algunos puertos TCP/UDP, permitiéndole a
un atacante conectarse clandestinamente a la computadora
infectada.

Estas son algunas de las acciones disponibles en forma
clandestina (existen muchas más):

- Manejar la instalación del propio backdoor
- Realizar ataques de denegación de servicio
- Robar información de la computadora infectada
- Escuchar y recibir comandos IRC de parte de un atacante
- Controlar el cliente IRC de la máquina infectada
- Descarga y envío de archivos de y hacia el sistema
afectado

* Reparación manual

Para reparar manualmente la infección provocada por este
virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

3. Borre los archivos detectados como infectados

4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

ShellEx

7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

8. Con el Explorador de Windows, borre los siguientes
archivos (si aparecen):

C:\Windows\System\ShellEx.exe
C:\Windows\System\Rundll32.pin

9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

Recomendamos además, utilizar un programa tipo firewall (o
cortafuego) como el ZoneAlarm, gratuito para uso personal,
que detendrá y advertirá la conexión del troyano con
Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm

* Limpieza de virus en Windows Me y XP

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W32/Metrion.B. Sobrescribe archivos .BAT, .VBS y .CPP
_____________________________________________________________

http://www.vsantivirus.com/metrion-b.htm

Nombre: W32/Metrion.B
Tipo: Virus de archivos PE
Alias: W32/Metrion-B, Win32-HLLP-Metrion32704-B,
Win32.Metrion.37204
Fecha: 3/jul/02
Tamaño: 37,204 bytes
Variantes: W32/Metrion.A, W32/Metrion.B, W32/Metrion.C
Fuente: Sophos

Este virus infecta archivos PE de Windows 32-bit. El virus se
inserta al principio del ejecutable infectado, y marca los
archivos infectados con un byte extra (20 Hex) al final del
mismo.

Los archivos infectados aumentan su tamaño en 37,204 bytes.

El virus contiene una destructiva rutina que sobrescribe
todos los archivos HTML con el siguiente texto:

Tagged By Metrion Cascade II

Metrion Cascade II –icarus

También sobrescribe todos los archivos .BAT (batch file) con
el código para ejecutar el archivo original del virus (el que
inició la infección). Ejemplo:

@ECHO OFF
C:\INFECTED.EXE

El virus busca también archivos con extensión .CPP (C++
program source code file), y los sobrescribe con el siguiente
código:

#include

void main()
{
cout << "Tagged by Metrion Cascade II";
}
//-icarus

Finalmente, el virus busca todos los archivos .VBS (Visual
Basic Script), y los sobrescribe con el código que muestra la
siguiente ventana de mensajes al ejecutarse el VBS:

-icarus
Tagged by Metrion Cascade II.
[ Aceptar ]

El virus se activa por la ejecución directa del usuario, y no
tiene ninguna capacidad de propagación a través de la red (no
es un gusano). Sin embargo, tenga en cuenta que cualquier
archivo previamente infectado, podría ser enviado en forma
premeditada o por accidente, en un correo electrónico, o
descargado desde un sitio en Internet. Por supuesto, usted
jamás debería ejecutar nada por primera vez, sin revisarlo
antes con sus antivirus al día.

* Reparación manual

Para borrar manualmente el virus, asegúrese de actualizar sus
antivirus con las últimas definiciones, y luego realice un
escaneo de todos sus discos.

Es probable se requiera la reinstalación de algunos
programas, o su reposición desde respaldos limpios.

* Glosario:

ARCHIVOS PE (Portable Executable). Este formato de archivos
ejecutables de Windows, recibe el nombre de "portátil" porque
puede ser compartido por todos los sistemas operativos de 32
bits. El mismo archivo puede ejecutarse en cualquier versión
de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de
formato PE son ejecutables (las extensiones más conocidas son
.EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables
son portátiles.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________