Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Bmbot. Adjunto: "BlueMountaineCard.pif"
 
VSantivirus No. 955 - Año 7 - Lunes 17 de febrero de 2003

 W32/Bmbot. Adjunto: "BlueMountaineCard.pif"
http://www.vsantivirus.com/bmbot.htm

Nombre: W32/Bmbot
Tipo: Gusano de Internet y Caballo de Troya
Alias: Troj/Bmbot, I-worm.bmbot@mm, Backdoor.Bmbot, W32/Bmbot@mm, W32/Cult.Worm
Plataforma: Windows 32-bits
Tamaño: 12,800 bytes (13,040 bytes)
Fecha: 16/feb/03

Este gusano puede propagarse a través del correo electrónico y de los canales de IRC. Además, posee un componente troyano que una vez activo, permite el acceso remoto y clandestino de un intruso a la computadora infectada. Utiliza el mIRC para conectarse con el atacante.

Cada mensaje enviado tiene estas características:

Asunto: HI, I send you and eCard from BlueMountain.com
Datos adjuntos: BlueMountaineCard.pif

El adjunto "BlueMountaineCard.pif" simula ser una tarjeta de salutación de la compañía "Blue Mountaine". El mensaje invita al usuario a conectarse a un sitio web.

Una vez ejecutado, el .PIF se copia en la carpeta "System" de Windows, cambiando su nombre y extensión:

C:\WINDOWS\SYSTEM\Winupdate.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

También crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Microsoft auto update" = "C:\WINDOWS\SYSTEM\Winupdate.exe"

Si el troyano no es ejecutado desde la carpeta System (o sea, la primera vez que se ejecuta), entonces muestra un mensaje de error falso para no despertar sospechas de su instalación.

Crea además, múltiples valores en la siguiente rama del registro, relacionadas con el uso que el gusano hará de la librería de Windows "Winsock32.dll", en su conexión a Internet como troyano:

HKEY_LOCAL_MACHINE\WINSOCK_32

Finalmente, muestra el mensaje de error falso y finaliza su ejecución.

Application error
The instruction at "0x776456de" referenced memory at "0x623525dg3".
The memory cpuld not be "read"

Click on OK to terminate the application
[    OK    ]

Una vez que el troyano se instala en el sistema, éste queda a la espera de las órdenes que en forma remota un atacante puede enviar.

Las posibles acciones del troyano son las siguientes:

  • Actualizar el servidor IRC al cual se conecta el troyano
  • Borrar, copiar, mover o crear archivos del sistema
  • Controlar al cliente IRC incluido en el troyano
  • Descargar archivos
  • Editar el registro del sistema
  • Ejecuta peticiones HTTP por el puerto 80 (Web)
  • Ejecutar programas
  • Envía el propio troyano a otros usuarios
  • Enviar información de la computadora y de la red
  • Finalizar procesos
  • Realizar ataques Distribuidos de Denegación de Servicios


Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\WINDOWS\SYSTEM\Winupdate.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Microsoft auto update

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\WINSOCK_32

5. Pinche en la carpeta "WINSOCK_32" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

El IRC y los virus

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS