Академический Документы
Профессиональный Документы
Культура Документы
http://www.taringa.net/posts/info/5717499/Virus-desabilita-el-administrador-Solucionado.html
Gusano residente en memoria, que se enva masivamente a direcciones de correo obtenidas de las
listas de contactos de Microsoft Outlook y Outlook Express en la mquina infectada. Utiliza
comandos MAPI (Messaging Application Programming Interface), para gestionar los envos.
[vaco]
c:avpc antiav.exe
c:body,.html.exe
c:program filesdmcpl.exe
c:program fileswinrarwinrar.exe
c:reshacker.exe
c:windowscrustyworm2004.exe
c:windowsdoc.exe
c:windowsmushy.exe
c:windowsnotepad.exe
c:windowssecurityemzy.exe
c:windowssystemdennis.exe
c:windowssystem32notepad.exe
c:windowssystem32sb4cw.exe
Si alguna de esas carpetas no existen, el archivo no es creado (por ejemplo, "Program files" no
existe por defecto en instalaciones de Windows en espaol). Algunas entradas aqu listadas
poseen errores y tampoco son creadas.
Tambin se copia en las siguientes carpetas, para ejecutarse en cada reinicio de Windows (algunas
de estas carpetas no existen en Windows en espaol):
c:windowsstart menuprogramsstartupf-prot.exe
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunServices
(Predeterminada) = C:WindowsSystem32NOTEPAD.EXE
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
Crusty = C rogram FilesDMCPL.EXE
El gusano finaliza la ejecucin de ciertas ventanas y deshabilita la posibilidad de invocar al
administrador de tareas (CTRL+ALT+SUPR).
Para lo primero, cierra todas las ventanas que posean el siguiente ttulo:
Command Prompt
LiveUpdate
Norton AntiVirus
Norton AntiVirus Quarantine
Payload
PC DOOR GUARD MANAGER
Quarantine
Registry Editor
RegRun II
System Restore
Windows Explorer
Windows Task Manager
Para lo segundo, el gusano crea el siguiente archivo para realizar los ataques distribuidos de
denegacin de servicio (DDoS):
c:windowscrustykill.bat
El ataque consiste en el envo continuo de paquetes ICMP (pings) a los siguientes sitios de
Internet:
www.microsoft.com
www.norton.com
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem
DisableTaskmgr = "1"
Reparacin manual
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cul
detendr y advertir la conexin de este y cualquier otro malware con Internet, as como cualquier
intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), adems de ser un excelente cortafuegos, tambin
impide la ejecucin de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener
que actualizarlo con cada nueva versin de un virus).
Ms informacin:
Antivirus
Actualice sus antivirus con las ltimas definiciones, luego siga estos pasos:
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
c:avpc antiav.exe
c:body,.html.exe
c:program filesdmcpl.exe
c:program fileswinrarwinrar.exe
c:reshacker.exe
c:windowscrustykill.bat
c:windowscrustyworm2004.exe
c:windowsdoc.exe
c:windowsmushy.exe
c:windowsnotepad.exe
c:windowssecurityemzy.exe
c:windowssystemdennis.exe
c:windowssystem32notepad.exe
c:windowssystem32sb4cw.exe
c:windowsstart menuprogramsstartupf-prot.exe
Editar el registro
Nota: algunas de las ramas en el registro aqu mencionadas, pueden no estar presentes ya que ello
depende de que versin de Windows se tenga instalada.
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
Crusty
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices
(Predeterminada) = C:WindowsSystem32NOTEPAD.EXE
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Policies
System
DisableTaskmgr = "1"
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
En Windows 98:
3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del
archivo a restaurar:
NOTEPAD.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalacin de Windows (en el
CD, generalmente es D:WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicacin
en el disco duro, donde se suelen copiar antes de una instalacin).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe,
tal vez se genere ahora esta carpeta, generalmente: "C:WINDOWSHelpdeskSFC" .
En Windows Me:
3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a
restaurar:
NOTEPAD.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalacin de Windows (en el
CD, generalmente es D:WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicacin
en el disco duro, donde se suelen copiar antes de una instalacin).
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe,
tal vez se genere ahora esta carpeta, generalmente: "C:WINDOWSMSConfigsBackups" .
En Windows XP:
NOTEPAD.EXE
4. En "Restaurar desde" escriba el camino completo a los archivos de instalacin de Windows (en
el CD, generalmente es D:WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su
ubicacin en el disco duro, donde se suelen copiar antes de una instalacin).
7. Pinche en "Expandir".
Informacin adicional
2. Pinche con el botn derecho sobre las distintas conexiones disponibles para conectarse a
Internet, y en "Conexin de Red de rea Local" y seleccione Propiedades en cada una de ellas.
Para poder ver las extensiones verdaderas de los archivos y adems visualizar aquellos con
atributos de "Oculto", proceda as:
1. Ejecute el Explorador de Windows
4. DESMARQUE la opcin "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opcin "Mostrar todos los archivos y carpetas ocultos" o
similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y
carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
FUENTE: http://www.vsantivirus.com/rusty-a.htm
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
Windows debe reiniciar ahora porque el
servicio Llamada a procedimiento
remoto (RPC) termin de forma inesperada
Esto ocurrir continuamente hasta que sea limpiada la infeccin y se tomen otras precauciones
que se detallan ms adelante en este artculo.
IMPORTANTE: Se debe tener en cuenta que este mensaje no es exclusivo de este gusano, sino de
cualquier cdigo maligno que se aproveche de ciertos exploits para la vulnerabilidad DCOM/RPC.
Adems de ello, recuerde que existen otros exploits que no producen este mensaje.
Respecto a este gusano, tambin se han recibido reportes de otras inestabilidades causadas por el
mismo en un sistema infectado, con cuelgues incluidos. Esto afecta principalmente al componente
SVCHOST.EXE de Windows 2000 y XP (lanzador de servicios).
msblast.exe
tftp.exe
TFTP (Trivial File Transfer Protocol), es una versin simplificada de FTP (File Transfer Protocol), un
protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red.
El gusano se propaga a travs del puerto TCP/135, copindose en las computadoras que no
poseen el parche para la vulnerabilidad DCOM/RPC. Esto solo ocurre en Windows 2000 y XP
(tambin es vulnerable Windows Server 2003).
Una forma fcil de evitar esto, es habilitar el cortafuegos del propio Windows XP, o instalar un
cortafuegos personal como Zone Alarm (recomendamos esta segunda opcin). Vea como hacerlo
al final del artculo.
DCOM (Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto
de interfaces que permiten a los clientes y servidores comunicarse. Usando una interface DCOM,
un programa puede iniciar una Llamada de Procedimiento Remoto (RPC) a un objeto de otro
programa.
La falla mencionada (un desbordamiento de bfer), permite que se pueda ejecutar cdigo en
forma aleatoria, enviando mensajes construidos maliciosamente entre procesos especficos.
Cuando se ejecuta MSBLAST.EXE, el gusano crea un MUTE en memoria con el nombre de BILLY (un
MUTE es un semforo que le indica a otros procesos que el gusano est activo).
Luego, el gusano agrega la siguiente clave en el registro, para autoejecutarse en cada reinicio del
sistema:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Windows auto update = msblast.exe I just want to say LOVE YOU SAN!! bill
En ocasiones, solo ser el nombre del ejecutable en la misma rama del registro:
Una vez en memoria, el gusano escanea direcciones IP al azar, buscando otros sistemas
vulnerables en el puerto TCP/135.
Usando este shell, el gusano ejecuta un comando TFTP (get) para descargar el gusano
propiamente dicho en el directorio System32 de Windows (la carpeta "System32" est en
C:Windows (Windows XP) o C:WinNT (Windows NT y 2000), por defecto):
c:windowssystem32msblast.exe
Valindose de la mencionada vulnerabilidad, ejecuta luego a este archivo, repitiendo el ciclo visto
antes.
El gusano utiliza una rutina de propagacin que optimiza la infeccin en las redes ms cercanas al
host infectado. Para ello, genera 20 direcciones al azar por vez, tomando como base la direccin IP
actual de la computadora infectada.
Por ejemplo, si la direccin IP del host es AAA.BBB.CCC.DDD, las direcciones generadas por el
gusano al comienzo tendrn AAA y BBB iguales a los del host.
DDD siempre ser cero, y CCC ser un nmero al azar entre 0 y 253. Si el nmero es mayor de 20,
se le restar otro valor menor de 20 tambin al azar.
Con las direcciones generadas, el gusano escanea otras computadoras vulnerables, siempre hasta
20 direcciones IP al mismo tiempo.
Intentar conectarse al puerto 135 en cada una de las 20 computadoras examinadas por vez,
registrando cada conexin exitosa. En esos casos, utiliza uno de los exploits que se aprovechan de
la vulnerabilidad DCOM/RPC, para infectar a su vctima como ya se explic (el exploit, DCOM.C o
similar, est en el cdigo del propio gusano).
Como resultado de toda esta actividad, la subred local ser saturada con pedidos al puerto 135.
Adems de todo ello, el gusano est preparado para realizar ataques distribuidos de denegacin
de servicio (DDoS), al servidor de actualizaciones de Microsoft, con la intencin es impedir la
descarga del parche que evita que el propio gusano pueda propagarse.
Para ello, y comenzando el 16 de agosto de 2003, todas las mquinas infectadas pueden enviar en
forma masiva, una gran cantidad de paquetes de 40 bytes, en intervalos de 20 milisegundos, al
puerto 80 de "windowsupdate.com".
Los ataques se produciran desde el da 16 hasta el ltimo da de cada uno de los meses de enero,
febrero, marzo, abril, mayo, junio, julio y agosto. Tambin ocurriran cualquier da de los meses de
setiembre y diciembre.
El gusano tambin se ejecuta como un servidor TFTP en la computadora atacada usando el puerto
UDP/69, con lo que permite que la vctima sirva de host a otros usuarios para que descarguen de
all una copia del gusano (MSBLAST.EXE).
Recomendaciones:
IMPORTANTE: La reparacin (manual y automtica), se ofrece solo como una forma segura de
acceder a nuestros archivos en forma temporal, inclusive para poder realizar algunos respaldos de
informacin que no hayamos hecho antes de la infeccin. Lamentablemente la infeccin con el
gusano Lovsan amerita acciones ms drsticas, como formatear y reinstalar el sistema operativo.
Estas razones se explican exhaustivamente en el siguiente enlace de "Preguntas frecuentes sobre
el Lovsan (Blaster)", "Porqu formatear despus del Lovsan (Blaster)?",
http://www.vsantivirus.com/faq-lovsan.htm#11
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cul
detendr y advertir la conexin de este y cualquier otro troyano con Internet, as como cualquier
intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), adems de ser un excelente cortafuegos, tambin
impide la ejecucin de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener
que actualizarlo con cada nueva versin de un virus).
Ms informacin:
1. Detenga el proceso del virus en memoria, pulsando CTRL+SHIFT+ESC (Windows 2000 y XP).
MSBLAST.EXE
PENIS32.EXE
TEEKIDS.EXE
ROOT32.EXE
MSPATCH.EXE
MSLAUGH.EXE
ENBIEI.EXE
ENILORA.EXE
Antivirus
Desde el Explorador de Windows, localice y borre cualquiera de los siguientes archivos que
aparezca (segn la versin, aparecern unos u otros):
c:windowssystem32msblast.exe
c:windowssystem32penis32.exe
c:windowssystem32teekids.exe
c:windowssystem32root32.exe
c:windowssystem32mspatch.exe
c:windowssystem32mslaugh.exe
c:windowssystem32enbiei.exe
c:windowssystem32enilora.exe
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
IMPORTANTE: La reparacin (manual y automtica), se ofrece solo como una forma segura de
acceder a nuestros archivos en forma temporal, inclusive para poder realizar algunos respaldos de
informacin que no hayamos hecho antes de la infeccin. Lamentablemente la infeccin con el
gusano Lovsan amerita acciones ms drsticas, como formatear y reinstalar el sistema operativo.
Estas razones se explican exhaustivamente en el siguiente enlace de "Preguntas frecuentes sobre
el Lovsan (Blaster)", "Porqu formatear despus del Lovsan (Blaster)?",
http://www.vsantivirus.com/faq-lovsan.htm#11
Descomprima el contenido del siguiente archivo en alguna carpeta, y luego haga doble clic sobre el
archivo CLNPOZA.COM.
IMPORTANTE: Se recomienda cerrar antes todas las ventanas activas, y desactivar cualquier otro
antivirus monitoreando.
Herramienta de Symantec
Descargue la utilidad "FixBlast.exe" (164 Kb) y ejectela en su sistema:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
Copyright (C) Symantec 2003.
Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un
atacante ejecutar cualquier cdigo con los privilegios locales (Mi PC).
IMPORTANTE
Si usted utiliza su PC, o pertenece a una organizacin que por su naturaleza exige ser totalmente
segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema
operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
Luego cambie todas sus contraseas, incluso la de otros usuarios a los que tenga acceso desde su
computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las
acciones necesarias a fin de cambiar todas las claves de acceso, as como reinstalar Windows en
todas las computadoras.
Esta es la nica manera segura de no comprometer su seguridad ante los posibles cambios
realizados por el gusano.
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows
XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF
(Internet Conexin Firewall) o viceversa.
2. Pinche con el botn derecho del mouse sobre "Conexin de Red de Area Local" y seleccione
Propiedades.
Para poder ver las extensiones verdaderas de los archivos y adems visualizar aquellos con
atributos de "Oculto", proceda as:
4. DESMARQUE la opcin "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opcin "Mostrar todos los archivos y carpetas ocultos" o
similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y
carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
Otras versiones:
Ms informacin:
Actualizaciones: