Gusano raro
Hola memmoch, tengo una pregunta que me parece debe ser difícil, por que nadie me sabe decir nada sobre ella. Una maiga mía tiene en el ordenador un virus de gusano que se llama PE_NINDA.A. De momento parece que no le ha hecho nadda más que llenarle la carpeta de archivos temporales sin parar, y cada vez que lo intenta borrar se multiplica. Ademas no deja que le funcione el MSN.
1 Respuesta
Respuesta de memmoch
1
Para empezar, deciros que el verdadero nombre del virus el Pe_Nimda (existe una diferencia de una n ;-)
Bueno y ahora vamos a ver como solucionamos este problema, yo lo he quitado un par de veces y ni antivirus ni naa.
Eliminación de virus
=============0
Para el que lo tenga, acabo de terminar de limpiarlo en toda la red y desde luego ni antivirus ni leches, la mejor forma de eliminarlo es la siguiente:
1) Matar el proceso LOAD.EXE utilizando un Task Manager más decente que el de Windows. A mi me gusta mucho el ATM (Another Task Manager) que es freeware y muy fácil de encontrar.
2) Eliminar el fichero LOAD.EXE que se encuentra en la carpeta WindowsSystem
3) Borrar TODOS los ficheros del directorio WindowsTemp (aseguraros de tener puesto en las propiedades de carpeta de Windows el mostrar todos los archivos o se os quedarán múltiples copias del virus por ahí).
4) Eliminar el WININIT.INI del directorio WINDOWS.
5)Eliminar TODAS las copias que encontréis del fichero RICHED20.DLL. Desgraciadamente el virus la sobreescribe, por lo que deberéis de extraerla del CD de Windows después o no os funcionarán la mayoría de los programas.
6) Editar el System.ini del directorio Windows aseguraros que la linea Shell quede solo como shell=explorer.exe, eliminando lo demas que haya en esa linea.
7) Eliminar TODOS los ficheros con extensiones EML y NWS que encontréis en el disco duro (los crea en TODOS los subdirectorios, por lo que habrá muchos), sobre todo los que ocupen 78Kb.
8) Reiniciar el ordenador y comprobar que no exista el proceso LOAD.EXE ni ninguno que se llame EMP*.TMP.EXE
Con esto queda eliminado hasta nueva orden. Suerte
Y bueno por si te interesa el tema un poco de cultura para ver como funciona este "ridiculo" virus.
Este virus puede contaminar a todos los usuarios no protegidos con Win9x/NT/2000/ME.
La meta principal es simplemente distribuirse sobre Internet e Intranet, infectando tantos usuarios como sea posible y creando tanto tráfico tal que la red sea virtualmente inusable.
Todos los usuarios finales y administradores que tienen Microsoft Internet Explorer (5.01 o 5.5 sin SP2), deben instalar los siguientes parches para cerrar la vulnerabilidad que aprovecha este virus.
Internet Explorer 5.01
http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp
Internet Explorer 5.5
http://www.microsoft.com/windows/ie/download/critical/q299618/default.asp
Todos los IIS administradores, que aún no lo hayan efectuado, también deben instalar los siguientes parches en sus servidores web (Agosto 15, 2001 Cumulative Patch for IIS)
IIS 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061
IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011
Este es un gusano de correo-masivo, que también se propaga vía recursos compartidos de la red, aprovechándose de las vulnerabilidades Microsoft Web Folder Transversal vulnerability (también usado por W32/CodeBlue), y por Microsoft incorrect MIME Header vulnerability. También intenta crear recursos compartidos, y utiliza el backdoor creado por el gusano W32/CodeRed.c.
El Asunto del email varía, el cuerpo del mensaje está en blanco, y el nombre de los archivos adjuntos varía y puede usar el icono de un documento HTML de Internet Explorer
Los métodos de propagación más importantes son:
· El email creado por el gusano específica un contenido del tipo audio/x-wav y contiene un archivo ejecutable. Cuando el correo es accedido, el adjunto puede ser ejecutado sin que el usuario se entere. Con sólo ver el contenido en Microsoft Outlook o Microsoft Outlook Express usando la característica "vista previa", el usuario se puede contaminar.
· Cuando se infecta, se crean documentos ASP, .HTM, y .HTML, y archivos llamados INDEX, MAIN, y DEFAULT, con código javascript que contiene instrucciones de abrir una nueva ventana con el browser conteniendo el correo infectado (tomado del archivo README. EML). Cuando esta página web infectada es accedida (en forma local o remota), la máquina que está viendo la página se infecta. En otras palabras, simplemente visitando un web-site, que está contaminado, puede infectar su computador.
· Cuando se produce la infección, se crea un recurso compartido para cada drive local, como %$ (donde % = es la letra del drive que está siendo compartido). En sistemas Win9x/ME, se configura como "full share" sin password. En sistemas WinNT/2K se dan permisos para compartir al usuario GUEST y es agregado al grupo ADMINISTRATORS (es necesario reiniciar la máquina para que esto se active). Cuando el virus encuentra una compartición abierta, se copia a si mismo en cada carpeta en el drive en formato .EML. Esto puede incluir la carpeta "START UP" (Inicio).
· EL gusano revisa direcciones IP buscando servidores IIS para infectarlos a través de la vulnerabilidad "Web Folder Transversal vulnerability", enviando un requerimiento GET malformado. Esto causa que las máquinas vulnerables inicien una sesión TFTP para bajar el archivo ADMIN.DLL desde la máquina que envió el requerimiento. Una vez que este archivo es descargado, el sistema remoto recibe instrucciones de ejecutar dicho DLL que infecta la máquina. En el caso que la sesión TFTP falle, múltiple archivos (TFTP*) son creados en el directorio WINDOWS TEMP. Estos archivos son simples copias del gusano. También trata de usar el backdoor creado por el W32/CodeRed.c para infectar.
· Archivos .EXE son contaminados con el código del gusano.
Una vez infectado, su sistema es usado para buscar otros que puedan ser infectados a través del web. De esta manera, se genera un excesivo tráfico de red, que puede transformarse en un colapso.
Las direcciones de email las obtienen desde mensajes MAPI en Microsoft Outlook y Microsoft Outlook Express, y también desde documentos HTM y HTML. El gusano se envía a si mismo a esas direcciones con una línea de Asunto en blanco o conteniendo un registro parcial de un key path.
Se copia a si mismo en el directorio WINDOWS\SYSTEM como LOAD.EXE, y crea una entrada en el SYSTEM.INI para ejecutarse en el inicio.
Shell=explorer.exe load.exe -dontrunold
Información Adicional:
- Una versión MIME codificada del gusano MIME se crea en cada carpeta del sistema (normalmente como README. EML, y también puede ser como archivo .NWS). Esto puede crear una gran cantidad de archivos y en algunos casos puede llenar el disco.
- El archivo WININIT.INI puede ser usado para borrar archivos de gusanos específicos en el reinicio:
NUL=C:\WINDOWS\TEMP\MEP52b0.TMP.exe
- Se crean o cambian valores en el registro para ocultar archivos:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\HideFileExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowSuperHidden
- Se borra una clave en el registro para remover la seguridad de compartición bajo WinNT/2K
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\Share\Security
- EL gusano guarda una copia de si mismo en C:\, D:\, y E:\ como ADMIN.DLL
Nota: Un archivo ADMIN.DLL válido existe y es parte de las funcionabilidades de "Microsoft FrontPage Server Extentsions"
- Los nombres de archivo del gusano incluyen : ADMIN. DLL, LOAD.EXE, MMC.exe, readme.exe, riched20. DLL, MEP*.TMP.EXE
Nota: las aplicaciones que utilizan formato de texto enriquecido (rich text format), como Microsoft Word y Wordpad, llaman al archivo RICHED20.DLL . De esta forma, el gusano es ejecutado cuando el programa está ejecutándose. Existe un archivo RICHED20.DLL válido en el directorio WINDOWS\SYSTEM, pero es sobrescrito por el virus.
Nota: MMC.EXE es el nombre de la aplicación Microsoft Management Console. Se ha reportado que el gusano puede sobrescribir este archivo.
Suerte y espero que te sirva de algo toda esta información.
Bueno y ahora vamos a ver como solucionamos este problema, yo lo he quitado un par de veces y ni antivirus ni naa.
Eliminación de virus
=============0
Para el que lo tenga, acabo de terminar de limpiarlo en toda la red y desde luego ni antivirus ni leches, la mejor forma de eliminarlo es la siguiente:
1) Matar el proceso LOAD.EXE utilizando un Task Manager más decente que el de Windows. A mi me gusta mucho el ATM (Another Task Manager) que es freeware y muy fácil de encontrar.
2) Eliminar el fichero LOAD.EXE que se encuentra en la carpeta WindowsSystem
3) Borrar TODOS los ficheros del directorio WindowsTemp (aseguraros de tener puesto en las propiedades de carpeta de Windows el mostrar todos los archivos o se os quedarán múltiples copias del virus por ahí).
4) Eliminar el WININIT.INI del directorio WINDOWS.
5)Eliminar TODAS las copias que encontréis del fichero RICHED20.DLL. Desgraciadamente el virus la sobreescribe, por lo que deberéis de extraerla del CD de Windows después o no os funcionarán la mayoría de los programas.
6) Editar el System.ini del directorio Windows aseguraros que la linea Shell quede solo como shell=explorer.exe, eliminando lo demas que haya en esa linea.
7) Eliminar TODOS los ficheros con extensiones EML y NWS que encontréis en el disco duro (los crea en TODOS los subdirectorios, por lo que habrá muchos), sobre todo los que ocupen 78Kb.
8) Reiniciar el ordenador y comprobar que no exista el proceso LOAD.EXE ni ninguno que se llame EMP*.TMP.EXE
Con esto queda eliminado hasta nueva orden. Suerte
Y bueno por si te interesa el tema un poco de cultura para ver como funciona este "ridiculo" virus.
Este virus puede contaminar a todos los usuarios no protegidos con Win9x/NT/2000/ME.
La meta principal es simplemente distribuirse sobre Internet e Intranet, infectando tantos usuarios como sea posible y creando tanto tráfico tal que la red sea virtualmente inusable.
Todos los usuarios finales y administradores que tienen Microsoft Internet Explorer (5.01 o 5.5 sin SP2), deben instalar los siguientes parches para cerrar la vulnerabilidad que aprovecha este virus.
Internet Explorer 5.01
http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp
Internet Explorer 5.5
http://www.microsoft.com/windows/ie/download/critical/q299618/default.asp
Todos los IIS administradores, que aún no lo hayan efectuado, también deben instalar los siguientes parches en sus servidores web (Agosto 15, 2001 Cumulative Patch for IIS)
IIS 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061
IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011
Este es un gusano de correo-masivo, que también se propaga vía recursos compartidos de la red, aprovechándose de las vulnerabilidades Microsoft Web Folder Transversal vulnerability (también usado por W32/CodeBlue), y por Microsoft incorrect MIME Header vulnerability. También intenta crear recursos compartidos, y utiliza el backdoor creado por el gusano W32/CodeRed.c.
El Asunto del email varía, el cuerpo del mensaje está en blanco, y el nombre de los archivos adjuntos varía y puede usar el icono de un documento HTML de Internet Explorer
Los métodos de propagación más importantes son:
· El email creado por el gusano específica un contenido del tipo audio/x-wav y contiene un archivo ejecutable. Cuando el correo es accedido, el adjunto puede ser ejecutado sin que el usuario se entere. Con sólo ver el contenido en Microsoft Outlook o Microsoft Outlook Express usando la característica "vista previa", el usuario se puede contaminar.
· Cuando se infecta, se crean documentos ASP, .HTM, y .HTML, y archivos llamados INDEX, MAIN, y DEFAULT, con código javascript que contiene instrucciones de abrir una nueva ventana con el browser conteniendo el correo infectado (tomado del archivo README. EML). Cuando esta página web infectada es accedida (en forma local o remota), la máquina que está viendo la página se infecta. En otras palabras, simplemente visitando un web-site, que está contaminado, puede infectar su computador.
· Cuando se produce la infección, se crea un recurso compartido para cada drive local, como %$ (donde % = es la letra del drive que está siendo compartido). En sistemas Win9x/ME, se configura como "full share" sin password. En sistemas WinNT/2K se dan permisos para compartir al usuario GUEST y es agregado al grupo ADMINISTRATORS (es necesario reiniciar la máquina para que esto se active). Cuando el virus encuentra una compartición abierta, se copia a si mismo en cada carpeta en el drive en formato .EML. Esto puede incluir la carpeta "START UP" (Inicio).
· EL gusano revisa direcciones IP buscando servidores IIS para infectarlos a través de la vulnerabilidad "Web Folder Transversal vulnerability", enviando un requerimiento GET malformado. Esto causa que las máquinas vulnerables inicien una sesión TFTP para bajar el archivo ADMIN.DLL desde la máquina que envió el requerimiento. Una vez que este archivo es descargado, el sistema remoto recibe instrucciones de ejecutar dicho DLL que infecta la máquina. En el caso que la sesión TFTP falle, múltiple archivos (TFTP*) son creados en el directorio WINDOWS TEMP. Estos archivos son simples copias del gusano. También trata de usar el backdoor creado por el W32/CodeRed.c para infectar.
· Archivos .EXE son contaminados con el código del gusano.
Una vez infectado, su sistema es usado para buscar otros que puedan ser infectados a través del web. De esta manera, se genera un excesivo tráfico de red, que puede transformarse en un colapso.
Las direcciones de email las obtienen desde mensajes MAPI en Microsoft Outlook y Microsoft Outlook Express, y también desde documentos HTM y HTML. El gusano se envía a si mismo a esas direcciones con una línea de Asunto en blanco o conteniendo un registro parcial de un key path.
Se copia a si mismo en el directorio WINDOWS\SYSTEM como LOAD.EXE, y crea una entrada en el SYSTEM.INI para ejecutarse en el inicio.
Shell=explorer.exe load.exe -dontrunold
Información Adicional:
- Una versión MIME codificada del gusano MIME se crea en cada carpeta del sistema (normalmente como README. EML, y también puede ser como archivo .NWS). Esto puede crear una gran cantidad de archivos y en algunos casos puede llenar el disco.
- El archivo WININIT.INI puede ser usado para borrar archivos de gusanos específicos en el reinicio:
NUL=C:\WINDOWS\TEMP\MEP52b0.TMP.exe
- Se crean o cambian valores en el registro para ocultar archivos:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\HideFileExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowSuperHidden
- Se borra una clave en el registro para remover la seguridad de compartición bajo WinNT/2K
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\Share\Security
- EL gusano guarda una copia de si mismo en C:\, D:\, y E:\ como ADMIN.DLL
Nota: Un archivo ADMIN.DLL válido existe y es parte de las funcionabilidades de "Microsoft FrontPage Server Extentsions"
- Los nombres de archivo del gusano incluyen : ADMIN. DLL, LOAD.EXE, MMC.exe, readme.exe, riched20. DLL, MEP*.TMP.EXE
Nota: las aplicaciones que utilizan formato de texto enriquecido (rich text format), como Microsoft Word y Wordpad, llaman al archivo RICHED20.DLL . De esta forma, el gusano es ejecutado cuando el programa está ejecutándose. Existe un archivo RICHED20.DLL válido en el directorio WINDOWS\SYSTEM, pero es sobrescrito por el virus.
Nota: MMC.EXE es el nombre de la aplicación Microsoft Management Console. Se ha reportado que el gusano puede sobrescribir este archivo.
Suerte y espero que te sirva de algo toda esta información.
Muchas gracias por tu respuesta memmoch, veo que eres un auténtico genio del tema en cuestión, voy a pasarle toda la informaicon a mi amiga a ver si la saco dle apuro.
