Detección agregada	07 ene 2009
Actualización lanzada	08 ene 2009 05:44 GMT
Descripción agregada	03 abr 2009

• Detalles técnicos
• Daños
• Instrucciones de eliminación

Gusano de red que se propaga por redes locales y mediante medios extraíbles de información. Al enviar sus copias a equipos remotos el gusano crea un fichero temporal con una extensión a azar. El programa es una biblioteca de Windows (fichero PE DLL). El tamaño de los componentes de la puerta trasera puede ser de 155 a 165 kilobytes. Está comprimido con UPX.

Instalación

El gusano copia su fichero ejecutable, con un nombre al azar, a los siguientes directorios:

donde <rnd> es una combinación de caracteres al azar.

Con el objetivo de lanzarse automáticamente durante el siguiente inicio del sistema, el gusano crea un servicio que lanza su fichero ejecutable cada vez que se inicia Windows. Crea la siguiente llave en el registro:

 [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 

Además, el gusano modifica el valor de la siguiente llave del registro:

Propagación por redes

Al infectar el equipo, el gusano ejecuta un servidor http en un puerto TCP elegido al azar, que después se utiliza para descargar el fichero ejecutable del gusano a otros equipos.

El gusano recibe la lista de direcciones IP de los equipos que se encuentran en "Mis sitios de red" del equipo infectado y los ataca usando la vulnerabilidad de rebalse del bufer en el servicio "Servidor" (más información sobre la vulnerabilidad en MS08-067: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx). Para esto, el gusano envía al equipo remoto una solicitud RPC especial que causa el desbordamiento del bufer durante la llamada de la función wcscpy _s en la biblioteca netapi32.dll, que resulta en el lanzamiento de un código-descargador especial que descarga el fichero del gusano y lo ejecuta en el equipo infectado. A continuación, se instala el gusano en el equipo atacado.

Para usar la vulnerabilidad indicada, el gusano trata de conectarse al equipo remoto bajo la cuenta del administrador. Para lograrlo, el gusano intenta las siguientes contraseñas:

Propagación a través de medios extraíbles

El gusano copia su fichero ejecutable a todos los discos extraíbles usando el siguiente nombre:

<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,

donde rnd - es una secuencia fortuita de letras minúsculas y X la letra del disco extraíble.

Además, junto con su ejecutable el gusano graba en el directorio raíz de todos los discos un fichero adicional:

<X>:\autorun.inf

Este fichero hace que el gusano se ejecute cada vez que el usuario abre con el Explorador un sector infectado.

Al ejecutarse, el gusano incrusta su código en el espacio de direcciones de uno de los procesos “svchost.exe” en ejecución en el sistema. El código incrustado ejecuta las principales funciones destructivas del gusano:

• desactiva los siguientes servicios:

  wuauserv
  BITS

• bloquea el acceso a las direcciones que contienen los siguientes renglones:

  indowsupdate
  wilderssecurity
  threatexpert
  castlecops
  spamhaus
  cpsecure
  arcabit
  emsisoft
  sunbelt
  securecomputing
  rising
  prevx
  pctools
  norman
  k7computing
  ikarus
  hauri
  hacksoft
  gdata
  fortinet
  ewido
  clamav
  comodo
  quickheal
  avira
  avast
  esafe
  ahnlab
  centralcommand
  drweb
  grisoft
  eset
  nod32
  f-prot
  jotti
  kaspersky
  f-secure
  computerassociates
  networkassociates
  etrust
  panda
  sophos
  trendmicro
  mcafee
  norton
  symantec
  microsoft
  defender
  rootkit
  malware
  spyware
  virus

Además, el gusano puede descargar ficheros desde enlaces como:

http://<URL>/search?q=<%rnd2%>

donde rnd2 es una cifra al azar y URL un enlace generado según un algoritmo especial que depende de la fecha en curso. El gusano averigua la fecha actual consultando los siguientes sitios:

Los ficheros descargados se guardan en el directorio de Windows (%System%) bajo su nombre original y se los ejecuta.

Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

O bien ejecute las siguientes acciones:

1. Eliminar el siguiente parámetro de la llave del registro:

    [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 

2. Eliminar el renglón "%System%\<rnd>.dll" de la siguiente llave del registro:

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]"netsvcs"

3. Reiniciar el equipo.
4. Eliminar el archivo original del gusano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
5. Eliminar la copia del gusano:

   %System%\<rnd>.dll%Program Files%\Internet Explorer\<rnd>.dll
   %Program Files%\Movie Maker\<rnd>].dll %All Users Application Data%\<rnd>.dll
   %Temp%\<rnd>.dll %System%\<rnd>.tmp %Temp%\<rnd>.tmp

   donde <rnd> es una combinación de caracteres al azar.

6. Eliminar los siguientes ficheros de todos los medios extraíbles:

   <X>:\autorun.inf
   <X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,
   

   donde rnd – es una secuencia fortuita de letras minúsculas; d es un número al azar y X la letra del disco extraíble.

7. Descargar e instalar la actualización del sistema operativo de la siguiente dirección:

   http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

8. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).