Panda Software, alertó
ayer de la aparición de Kazoa.C, alias "Gool", un nuevo gusano/troyano
programado en Delphi que se distribuye a través de la popular aplicación KaZaa y
de IRC. Afecta a sistemas Win9x, NT, 2000 y XP. Una vez instalado en el
ordenador cambia entradas del registro para ejecutarse cada vez que se inicia
Windows y abre el puerto 31337 (aunque puede ser otro). Desde él envía la
dirección IP a través de Internet, y permite a los atacantes realizar las
siguientes acciones en el ordenador afectado:
-Enviar mensajes.
-Ocultar la barra de tareas del escritorio.
-Borrar la CMOS.
-Producir un error en la máquina.
-Consumir memoria.
-Manejar y enviar ficheros.
-Capturar la pantalla y las teclas pulsadas.
-Obtener datos del sistema operativo y características del PC.
Kazoa.C, alias "Gool", se copia a sí mismo modificando la carpeta compartida
-por defecto- por la aplicación KaZaa, y crea diferentes ficheros con nombres
tan conocidos como Catherine Zeta Jones, Pamela Anderson, Pokémon, Sandra
Bullock o Shakira, entre otros, y con diversos ganchos para llamar la atención a
los usuarios (eróticos, falsas claves para crackear sistemas operativos, etc.).
Estos archivos tienen doble extensión, siendo siempre ".exe" la real. Si el
ordenador del usuario no tiene configurada la opción de mostrar las extensiones
de los archivos, estos iconos se mostrarán de manera inofensiva como ficheros de
tipo ".jpg" o ".txt".
Si este código malicioso encuentra algún proceso abierto de programas antivirus,
seguridad y sistema, los finaliza.
¿Cómo saber si Kazoa.C ha afectado al ordenador?
Para saber si el ordenador ha resultado afectado es necesario comprobar la
existencia de los siguientes ficheros en la carpeta del sistema:
- %sysdir%\EXPLORER.EXE
- %sysdir%\SYSTEM\Explorer.vbs
-%sysdir%\SYSTEM\RealWayToHack.exe
Además, también es necesario comprobar si en el registro existe las siguientes
entradas:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run=Registry"%sysdir%\EXPLORER.EXE"
- HKCU\Software\Microsoft\InternetExplorer\Main"RegisteredOrganization" = <http://www.crash.com>
¿Cómo pueden los usuarios protegerse ante Kazoa.C?
La mejor forma de estar protegido contra éste y cualquier otro virus, gusano o
troyano es instalar un buen antivirus, mantenerlo siempre actualizado y activar
su protección permanente.
Adicionalmente, si dispone de firewall podría bloquear los puertos que utiliza
W32/Kazoa.C.
¿Cómo pueden los usuarios eliminar este gusano/troyano si han resultado
afectados?
Si el ordenador de un usuario ha sido afectado, los pasos para eliminarlo son
los siguientes:
- Actualizar el antivirus. Los clientes de Panda Software pueden hacerlo en la
dirección: <http://www.pandasoftware.es/descargas/>
- Borrar las entradas que este gusano ha introducido en el Registro de Windows.
- Reiniciar el sistema y realizar un análisis completo del ordenador.
|