Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm

Este troyano consiste en varios componentes, tres de ellos integrados en un solo archivo comprimido auto extraíble (WORM.EXE), el cuál contiene los siguientes tres archivos (RPC.EXE, RPCTEST.EXE y TFTPD.EXE). El quinto es descargado de Internet (LOLX.EXE o DCOMX.EXE)

Estos son los archivos relacionados con este troyano:

WORM.EXE
RPC.EXE
RPCTEST.EXE
TFTPD.EXE
LOLX.EXE o DCOMX.EXE

WORM.EXE es un archivo auto extraíble, comprimido a su vez con la herramienta UPX, que contiene los archivos RPC.EXE, RPCTEXT.EXE y TFTP.EXE. Cuando se ejecuta WORM.EXE, el mismo se descomprime, copia los archivos mencionados en el directorio raíz del disco C, y luego ejecuta al archivo RPC.EXE.

RPC.EXE está escrito en Microsoft Visual Basic. Cuando se ejecuta, intenta a su vez lanzar al archivo TFTPD.EXE, un servidor FTP legítimo, usándolo para descargar el archivo LOLX.EXE (o DCOMX.EXE), de un sitio de Internet. Luego ejecuta el archivo descargado. También escanea la red buscando puertos TCP 445 abiertos y ejecuta a RPCTEST.EXE.

Para generar las direcciones IP usadas para el escaneo, el troyano utiliza un algoritmo basado en los siguientes grupos de valores:

Dirección IP: A.B.C.D

Donde A es uno de estos valores:

4
12
24
64
65
68
128
165
208
211
213
217
218
220

B es un valor al azar entre 0 y 255.

C y D son valores del 1 al 255.

Por ejemplo, si A es 65 y B 123, el gusano busca todas las máquinas en el rango comprendido entre la dirección IP 65.123.1.1, a la 65.123.255.255. Repite todas las secuencias posibles hasta encontrar una máquina vulnerable.

RPCTEST.EXE es un exploit que se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) de Windows, para ejecutar código en la máquina vulnerable, si esta corre Windows NT, 2000 o XP (descripta en el mencionado boletín MS03-026 de Microsoft).

También utiliza un DLL que no forma parte de la instalación por defecto de Windows, lo que disminuye las probabilidades de ejecutarse satisfactoriamente.

TFTPD.EXE es un servidor FTP legítimo, utilizado maliciosamente por el troyano. Es instalado en el puerto TCP/69, y habilita la unidad C:\ de la máquina infectada como directorio root.

LOLX.EXE (también puede ser DCOMX.EXE), puede ser un troyano de la familia SDBOT, o un gusano de la familia Lioten o Randex, que utiliza el protocolo SMB (Server Message Block o Bloque de mensajes de servidor). Este protocolo es usado por Windows para permitir los recursos compartidos a través de la red. En Windows NT, 2000 y XP, lo hace a través del puerto 445.

El troyano también es capaz de enviar instrucciones a través del IRC (Internet Chat Relay) y del ICQ.

El componente principal (RPC.EXE), contiene los siguientes textos:

rpc autorooter by ERIC
RPC autorooter

El archivo del exploit (RPCTEST.EXE), contiene la siguiente leyenda en su código:

USE THE FORZ LUKE!

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm

Nota: No confíe en el cortafuegos incorporado en Windows XP para esta tarea, ya que no bloquea todos los puertos.


Antivirus

Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados.

Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com