|
Sección
patrocinada por
|
|
|
Big Boss: el virus del gran jefe nos acecha |
Según las empresas de seguridad informática la peligrosidad de este virus es
baja, sin embargo día a día nuestro buzón se llena de mensajitos de [email protected],
ofrecindonos sus videos o muestras.
|
|
Tras los mensajes se encuentra un virus, conocido como Sobig, aunque cada
fabricante de sistemas antivirus ha añadido su prefijo a este nombre: W32/Sobig@MM,
W32.Sobig.A@mm, W32/Sobig, Sobig, W32/Bigboss@mm. Apareció por primera vez
a finales del año pasado, aunque fue en enero cuando
cobro mayor fuerza y hoy ya es todo un clasico en cualquier buzon de correo
electrónico.
La consultora Messagelabs lo califica de alto riesgo y según los últimos datos
ofrecidos ocupa ya la tercera posición en cuanto a correos infectados con virus,
un lugar que ya alcanzo durante el mes de enero y que sigue manteniendo durante
este mes.
También Kaspersky lab. destaca en su informe mensual de enero el impacto de este
gusano que ocupo la cuarta posición con un 6,57% de los mensajes infectados
detectados por esta compañía de seguridad informática.
Curiosamente, la española Panda Antivirus no lo incluyo en su ránking de enero,
debido quizás a que Inglaterra, los EEUU y Corea, han sido los países más
afectados en su propagación, teniendo menor impacto en otros países.
- |
Kaspersky lab |
Panda |
Symantec |
MessageLabs |
1 |
I-Worm.Klez |
16,65% |
Klez.I |
9,4% |
W32.Klez.H@mm |
W32/Klez.H-mm |
49,45% |
2 |
I-Worm.Lentim |
8,75% |
Lentin.K |
7,3% |
W32.Bugbear@mm |
W32/Yaha.K!e2a2 |
19,25% |
3 |
I-Worm.Sobig |
6,57% |
Trj/Pornspa.D |
4% |
W32.Yaha.K@mm |
W32/Sobig.A-mm |
12,44% |
4 |
I-Worm.Avron |
6,55% |
Bugbear |
2,9% |
W32.Sobig.A@mm |
W32/Yaha.E-mm |
6,66% |
5 |
Macro.Word97.Thus |
5,17% |
Enerkaz |
2,3% |
W32.SQLExp.Worm |
W32/Naith.A-mm |
3,33% |
6 |
I-Worm.Hybris |
3,13% |
Elkern.C |
- |
- |
W32/Naith.A-mm |
2,71% |
7 |
I-Worm.Roron |
2,46%, |
Lirva |
- |
- |
W32/BugBear-mm |
1,95% |
8 |
I-Worm.Tanatos |
1,92% |
Nimda |
- |
- |
W32/SirCam.A-mm |
1,21% |
9 |
Backdoor.NetDevil |
1,25% |
mIRC/Lirva |
- |
- |
W32/Yaha.L!2095 |
0,64% |
10 |
Macro.Word97.Saver |
1,17% |
JS/Trojan.Seeker |
- |
- |
W32/Magistr.B-mm |
0,36% |
|
Dada la importancia que esta alcanzando este virus, publicamos a continuación
un articulos reproducido de VSAntivirus que nos permitirá comprobar si nuestro
sistema ha sido infectado y los distintos metodos existentes para limpiarlo de
nuestro equipo... siempre claro que se encuentre presente.
W32/Sobig.A. Mensajes enviados por "[email protected]"
http://www.vsantivirus.com/sobig-a.htm
Nombre: W32/Sobig.A
Tipo: Gusano de Internet
Alias: W32/Sobig@MM, W32.Sobig.A@mm, W32/Sobig, Sobig, W32/Bigboss@mm
Fecha: 9/ene/03
Tamaño: 65,536 bytes (tElock)
Plataforma: Windows 32-bits
Este gusano, escrito en MSVC (MS Visual C++) y comprimido con la utilidad tElock
(una herramienta clandestina), se propaga a través de recursos compartidos y
correo electrónico. Posee su propia máquina SMTP, por lo que no depende de
ningún cliente de correo para enviarse desde una máquina infectada.
La lista de destinatarios (sus próximas víctimas), es tomada del contenido de
archivos con las siguientes extensiones:
.txt
.eml
.html
.htm
.dbx
.wab
Los archivos .WAB corresponden a la libreta de direcciones de Windows (Windows
Address Book).
El mensaje que se propaga, siempre figura como enviado desde la siguiente
dirección electrónica falsa: "[email protected]".
Puede tener alguno de los siguientes Asuntos:
Re: Movies
Re: Sample
Re: Document
Re: Here is that sample
El archivo adjunto (de 65,536 bytes), puede tener uno de estos nombres:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif
El cuerpo del mensaje tiene solo este texto:
Attached file:
El gusano intenta copiarse a los siguientes directorios, en todas las unidades
locales y de red con los permisos de lectura/escritura respectivos:
\Windows\All Users\Start Menu\Programs\StartUp
\Documents and Settings\All Users\Start Menu\Programs\Startup
El gusano envía un mensaje a un beeper, conectándose a una dirección en
pagers.icq.com, antes de enviar los mensajes infectados.
Como Actúa?
El gusano se copia a la siguiente ubicación:
C:\Windows\Winmgm32.exe
Y también crea los siguientes archivos:
C:\Windows\Sntmls.dat
C:\Windows\Dwn.dat
Luego, crea un proceso en memoria con el archivo "C:\Windows\Winmgm32.exe", y
lo inicializa, con lo cuál logrará realizar las siguientes tareas:
1. Crea un Mutex con el nombre "Worm.X" (un "mutex" es una marca para impedir
se vuelva a ejecutar el mismo proceso, en este caso, la ejecución en otro hilo
del propio gusano).
2. Crea un hilo para enviar el mensaje al beeper en la dirección
pagers.icq.com
3. Crea un hilo para descargar un archivo de texto de una página en
www.geocities.com, el cuál ya fue retirado.
Este texto tendría la dirección para descargar otro archivo y ejecutarlo en la
máquina infectada (http://www.doesnotexist.com/blah.txt, aunque no es un
archivo de texto).
En principio, este archivo era grabado con el nombre de "dwn.dat" en el
directorio de Windows. En las versiones examinadas, se trata de una variante
del troyano "Zasil" (ver "Troj/Zasil. Muestra una imagen pornográfica", http://www.vsantivirus.com/zasil.htm).
4. Crea un hilo para buscar en toda la red recursos compartidos a los que
pueda copiarse, y se copia en ellos cómo vimos al principio.
5. Crea un hilo para enviar mensajes infectados a todas las direcciones de
correo recolectadas de archivos cuyas extensiones ya mencionamos.
El gusano también crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio del sistema (solo se crea la segunda si ya
existe la rama respectiva):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsMGM = C:\Windows\Winmgm32.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsMGM = C:\Windows\Winmgm32.exe
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de
acuerdo al sistema operativo instalado (con esos nombres por defecto en
Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
Herramientas para quitar el W32/Sobig.A de un sistema infectado
Reparación manual
Es importante desconectar cada computadora de cualquier red antes de
proceder a su limpieza.
1. Actualice sus antivirus con las últimas definiciones, luego reinicie
Windows en modo a prueba de fallos,
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\Windows\Winmgm32.exe
C:\Windows\Sntmls.dat
C:\Windows\Dwn.dat
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el
escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descrito antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse
ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la
siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la
siguiente entrada:
WindowsMGM
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la
siguiente rama (puede no existir):
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la
siguiente entrada:
WindowsMGM
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Symantec ofrece una utilidad FixSobig.exe (164 Kb)
que permite la desinfección de este virus: FixSobig:
http://securityresponse.symantec.com/avcenter/FixSobig.exe
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar
aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas'
(Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos
conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas
ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos
los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del
sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
|
Enlaces
relacionados |
|
|
Noticias relacionadas |
|
domingo, 25 mayo 2014 |
|
|