svchost32.exe
service.exe
ntrootkit.exe

SERVICE.EXE es una utilidad legítima. SVCHOST32.EXE es una copia del gusano propiamente dicho, y NTROOTKIT.EXE es una utilidad para ejecutar en Windows XP. Algunos antivirus identifican este último archivo como NTRootkit o una variante. Más información:

NTRootkit. Peligrosa herramienta de "ocultamiento"
http://www.vsantivirus.com/ntrootkit.htm

Los archivos son copiados en la siguiente ubicación:

c:\windows\system32\svchost32.exe
c:\windows\system32\service.exe
c:\windows\system32\ntrootkit.exe

El gusano también copia el archivo C:\WINDOWS\SYSTEM32\SVCHOST32.EXE en C:\WINDOWS\SYSTEM\SVCHOST.EXE.

Los archivos del gusano, luego serán descargados desde la computadora "atacante", en lugar del sitio Web mencionado antes.

La carpeta "System32" se localiza en C:\Windows (Windows XP) o en C:\WinNT (Windows NT y 2000), por defecto.

El gusano se instala como un servicio en la máquina infectada, utilizando la utilidad SERVICE.EXE mencionada antes. El nombre del servicio es "Remote_Procedure_Call". De este modo, se ejecutará automáticamente cada vez que Windows se reinicie.

El gusano escanea por el puerto TCP/135, en busca de máquinas vulnerables al desbordamiento de búfer en el protocolo RPC (vulnerabilidad RPC/DCOM explicado en el boletín MS03-026 de Microsoft). Las direcciones IP para la búsqueda, son generadas automáticamente.

Si encuentra máquinas vulnerables, ejecuta el exploit que le permite abrir un shell remoto (un SHELL es un intérprete de comandos que interpreta y activa los comandos o utilidades introducidos por el usuario). Desde el shell, construye y ejecuta un archivo llamado DOWN.COM, detectado como el troyano Troj/Ntrtkit.A (BKDR_NTRTKIT.A, Troj/RtKit-11, según cada fabricante de antivirus).

Finalmente, guarda la dirección IP de la víctima en el archivo SVCHOST.INI de la máquina atacante:

c:\windows\system32\svchost.ini

El gusano utiliza su propio cliente IRC incorporado como parte de su código, para conectarse a alguno de los siguientes servidores de chat, para realizar acciones de caballo de Troya:

irc.aol.com
irc.banetele.no
irc.blessed.net
irc.csbnet.se
irc.daxnet.no
irc.desync.com
irc.homelien.no
irc.inet.tele.dk
irc.inter.net.il
irc.ipv6.homelien.n
irc.ircsoulz.net
irc.isdnet.fr
irc.isprime.com
irc.limelight.us
irc.mindspring.com
irc.mpls.ca
irc.nac.net
irc.prison.net
irc.red-latina.org
irc.secsup.org
irc.servercentral.n
irc.Ultra-IRC.net

Una vez conectado a un canal determinado, el gusano funciona como un IRC Bot (copia de un usuario en un canal de IRC, generado casi siempre por un programa, y preparado para responder ciertos comandos que se les envía en forma remota). De ese modo es capaz de ejecutar cualquiera de los siguientes comandos:

• Abandonar el canal del servidor de IRC
• Intentar descargar y ejecutar el parche de Microsoft que corrige la falla del desbordamiento de búfer en el protocolo RPC (MS03-026).
• Descargar archivos de sitios especificados
• Descargar y actualizar copias de si mismo desde un sitio Web.
• Ejecutar archivos
• Enviar información del usuario de la computadora infectada a un usuario remoto
• Listar todos los procesos activos
• Terminar un proceso
• Unirse a otro canal en el servidor IRC

El gusano también emite la orden para descargar los archivos SVCHOST32.EXE, SERVICE.EXE y NTROOTKIT.EXE, desde la computadora "atacante", en lugar del sitio Web mencionado antes.

La carpeta "System32" se localiza en C:\Windows (Windows XP) o en C:\WinNT (Windows NT y 2000), por defecto.

El gusano posee la capacidad de descargar una copia actualizada de si mismo desde un sitio Web.

El siguiente texto está presente en su código:

BenderBOT

Aún cuando un antivirus detecte y elimine este gusano, mientras no se haya instalado el parche mencionado en dicho boletín, la computadora seguirá vulnerable al ataque de desbordamiento de búfer desde otras máquinas infectadas. Cuando estos paquetes son recibidos por cualquier sistema sin el parche, provocarán la caída del servicio RPC, sin necesidad de que el gusano esté presente o no en la máquina.

Aplicando el parche, se previene la falla en este servicio. El sistema debe ser reiniciado luego de su instalación.


IMPORTANTE

Además del procedimiento de limpieza referido a continuación, se deberá eliminar también el troyano creado por el gusano. Más información:

Troj/Ntrtkit.A. Troyano liberado por W32/Raleka
http://www.vsantivirus.com/ntrtkit-a.htm


Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Detener el servicio

1. Desde Inicio, Ejecutar, escriba CMD y pulse Enter

2. En la línea de comandos, escriba lo siguiente más Enter:

NET STOP "Remote_Procedure_Call"

Un mensaje deberá indicarle que el servicio se ha detenido satisfactoriamente.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\down.com
c:\windows\system32\ntrootkit.reg
c:\windows\system32\svchost.cmd
c:\windows\system32\svchost.ini

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSetServices
\svchost

3. Pinche en la carpeta "svchost" y bórrela.

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Vulnerabilidad en RPC (Remote Procedure Call)

Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.

Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).

Descargue y ejecute el parche correspondiente (MS03-026) desde el siguiente enlace:

Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm


IMPORTANTE

Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

También instale los parches mencionados más adelante.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano.


Activar cortafuegos de Windows XP (Internet Conexión Firewall)

NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa.

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.

2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com