• Herramientas para quitar el W32/Sobig.C de un sistema infectado

Se trata de una nueva versión del Sobig, y ha sido detectada por primera vez el 31 de mayo. Los primeros reportes indicaban que se propaga simulando ser un mensaje enviado por el propio Bill Gates, el fundador de Microsoft. Sin embargo en las últimas horas se ha detectado en nuestra propia red de alertas, un aumento de incidencias, con mensajes provenientes de diferentes remitentes.

Se recomienda actualizar las bases de datos de sus antivirus, que ya han actualizado las mismas para reconocer esta versión.

El gusano está compilado en Microsoft Visual C (MSVC) y comprimido con una versión modificada de la herramienta UPX, con la intención de dificultar su detección.

El gusano busca archivos con las extensiones .TXT, .EML, .HTML, .HTM, .DBX y .WAB, en todos los discos duros, para extraer direcciones de correo a las que luego se enviarán los mensajes infectados. Esas extensiones incluyen además de páginas Web en archivos temporales, las bases de mensajes y los mensajes del Outlook Express y la libreta de direcciones de Windows.

Para enviarse por correo, el gusano utiliza su propio motor SMTP, no dependiendo del cliente de correo instalado.

Los mensajes enviados poseen las siguientes características:

Como remitente, utiliza direcciones falsas, incluso la del propio usuario infectado. Algunos ejemplos (Nota: Estos son solo ejemplos, puede tener cualquier dirección falsa):

bill@microsoft.com
a.miller@lmco.com
cheeky_monkey_07@hotmail.com
kelvinlim81@hotmail.com
suga_babe669@hotmail.com
soccer_chick_019@hotmail.com

Texto del mensaje (siempre el mismo):

Please see the attached file.

Como asunto, uno de los siguientes al azar:

Approved
Re: 45443-343556
Re: Application
Re: Approved
Re: Movie
Re: Screensaver
Re: Submited (004756-3463)
Re: Your application
Screensaver

Como datos adjuntos, el gusano con alguno de los siguientes nombres.

45443.pif
application.pif
approved.pif
document.pif
documents.pif
movie.pif
screensaver.scr
submited.pif

Los archivos PIF (Windows Program Information), normalmente son archivos utilizados para almacenar información relacionada con la ejecución de los programas DOS, pero también pueden incluir código en formatos EXE, COM o BAT en su interior, el cuál puede ser ejecutado por el propio PIF. En este caso son .EXE renombrados como PIF. Para el sistema operativo esto no hace diferencia, y son ejecutados directamente si el usuario hace doble clic sobre ellos.

Esta versión también utiliza adjuntos con extensión .SCR. Por un error en el código, en algunos clientes de correo el adjunto quedará renombrado como .PI o .SC, siendo en ese caso inofensivo. También pueden recibirse mensajes del gusano sin adjunto alguno.

Para seleccionar sus destinatarios, el gusano busca direcciones en la máquina infectada, dentro de archivos con las siguientes extensiones:

.wab
.dbx
.htm
.html
.eml
.txt

El gusano puede provocar mensajes de errores, ya que al enviar sus mensajes puede hacerlo a la propia computadora infectada, incluso con la propia dirección del usuario infectado, como explicamos antes.

Crea los siguientes archivos, algunos copias de si mismo:

c:\windows\mscvb32.exe
c:\windows\msddr.dll
c:\windows\msddr.dat
c:\windows\system\mscvb.exe

El gusano modifica el registro para autoejecutarse en la máquina infectada al reiniciarse ésta:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System MScvb = c:\windows\system\mscvb.exe

Otra opción:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System MScvb = c:\windows\mscvb32.exe

Si el sistema operativo es Windows NT, 2000 o XP, también agrega este valor:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System MScvb = c:\windows\mscvb32.exe

NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).

Si la fecha actual es anterior a la indicada como 08-06-2003 (8 de junio de 2003), cada 30 minutos el gusano enumera las carpetas compartidas en red, y si tiene los permisos, intentará propagarse a través de recursos compartidos en redes, a otras computadoras, a los siguientes recursos compartidos:

C$
D$
E$
IPC$

Windows 95, 98 y Me:

C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio

Windows XP y 2000:

C:\Documents and Settings
\All Users\Menú Inicio\Programas\Inicio

Windows NT:

C:\WinNT\Profiles
\All Users\Menú Inicio\Programas\Inicio

Las computadoras así infectadas, cargarán al gusano en memoria cuando las mismas sean reiniciadas. En ocasiones, se copia en los directorios raíz o en la carpeta actual.

El gusano tiene como fecha de desactivación el 8 de junio de 2003, por lo que podría estar activo hasta el 7/jun/03. Sin embargo, puede ser actualizado descargando archivos de diferentes sitios de Geocities. Estos sitios están registrados en archivos .INI. Algunos de ellos:

http://www.geocities.com/vb[omitido]hptok/axccfa.txt
http://www.geocities.com/vb[omitido]rto/axcfa.txt
http://www.geocities.com/vb[omitido]hdgs/aadfa.txt

Hay que hacer notar que algún fabricante de antivirus indica que esta fecha sería el comienzo y no el final de su rutina de propagación vía redes. Esta discrepancia seguramente se debe a la alta encriptación que presenta el gusano, lo que dificulta su análisis primario.

El código del gusano contiene el siguiente texto:

Worm started
Poss.X

Herramientas para quitar el W32/Sobig.C de un sistema infectado

Symantec
Descargue la utilidad "FixSbigc.exe" (159 Kb) y ejecútela en su sistema:
http://securityresponse.symantec.com/avcenter/FixSbigc.exe
Copyright (C) Symantec 2003.

BitDefender
Descargue la utilidad "AntiSobig-es.exe" (57 Kb) y ejecútela en su sistema:
http://www.bitdefender.com/descarga/evaluacion/AntiSobig-es.exe
Copyright (C) BitDefender 2003.

Panda
Descargue "Pqremove.com" de este enlace (1.2Mb) y ejecútelo en su sistema:
http://updates.pandasoftware.com/pq/gen/palyh/pqremove.com
Copyright (C) Panda Software 2003.


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"

3. En "Nombre" ingrese (o corte y pegue), lo siguiente:

mscvb.exe ; mscvb32.exe ; msddr.dll ; msddr.dat

4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione Todos los archivos y carpetas

3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente:

mscvb.exe ; mscvb32.exe ; msddr.dll ; msddr.dat

4. Verifique que en "Buscar en:" esté seleccionado "C:"

5. Pinche en "Opciones avanzadas"

6. Seleccione "Buscar en carpetas del sistema"

7. Seleccione "Buscar en subcarpetas"

8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

System MScvb

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (podría no existir):

System MScvb

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

03/jun/03 - Alias: Win32.HLLM.Reteras.3




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com