Problemas con virus
Hola, tengo instalado Windows XP y un programa que se llama Ad-Aware 6, con el que puedo detectar algún vicharraco.
Bueno, el punto que cuando analizo mi PC, me aparece un mensaje de Norton que tengo el virus W32.HLLW.gaobot. Gen.
Y que no puede hacer nada. Trate de eliminarlo usando Norton en modo prueba de fallo pero no encontró nada, lo analice con ad-aware en modo de fallo y quedó en cuarentena, lo que supuse que quedo eliminado, pero no fue así, ya que volví a analizar en modo seguro y nuevamente me apareció el mensaje.
¿Qué puedo hacer?, te rogaría que me ayudes. Gracias.
Bueno, el punto que cuando analizo mi PC, me aparece un mensaje de Norton que tengo el virus W32.HLLW.gaobot. Gen.
Y que no puede hacer nada. Trate de eliminarlo usando Norton en modo prueba de fallo pero no encontró nada, lo analice con ad-aware en modo de fallo y quedó en cuarentena, lo que supuse que quedo eliminado, pero no fue así, ya que volví a analizar en modo seguro y nuevamente me apareció el mensaje.
¿Qué puedo hacer?, te rogaría que me ayudes. Gracias.
1 Respuesta
Respuesta de chalan2004
1
Bien, primero no desesperarse es la mejor arma. Seguido ve estas instrucciones con cuidado:
Este virus es una variante menor de W32/Gaobot.BB. Gusano comprimido con la utilidad Petite, que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.).
Se aprovecha de múltiples vulnerabilidades:
Vulnerabilidad RPC/DCOM (MS03-026)
http://www.vsantivirus.com/vulms03-026-027-028.htm
Vulnerabilidad en el Servicio Localizador (MS03-001)
http://www.vsantivirus.com/vulms03-001-002-003.htm
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htm
La primera (MS03-026), es la misma falla de la que se aprovecha el Lovsan (Blaster) y otros. Utiliza el puerto TCP/135. La falla se produce por un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El parche existe desde julio de 2003.
La segunda (MS03-001), cuyo parche está disponible desde enero de 2003, es explotada a través del puerto TCP/445. La falla ocurre en el sistema localizador RPC (Remote Procedure Call).
En ambos casos, un cortafuegos puede impedir la propagación.
La tercera falla (MS03-007), es un desbordamiento de búfer existente en la librería "ntdll.dll" utilizada por el componente WebDAV de Microsoft IIS 5.0, que permite que al enviar una solicitud al servidor, un intruso puede ser capaz de ejecutar código arbitrariamente en el contexto de seguridad local, menos crítico, dándole al atacante el control completo sobre el sistema.
Con este gusano, un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Al ejecutarse se copia en el siguiente archivo:
c:\windows\system\winupdates.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Office Start = winupdates.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Office Start = winupdates.exe
Una vez en memoria, abre el puerto TCP/6667 para conectarse con un usuario remoto, a través de un canal de IRC (Internet Relay Chat). Utiliza su propio cliente IRC, por lo que no importa que no se tenga instalado ninguno.
Queda a la espera de las instrucciones que le permitirán realizar alguna de la siguientes acciones:
º Administrar la instalación del propio gusano
º Actualizar dinámicamente su propio código
º Descargar y ejecutar archivos
º Robar información confidencial
º Enviar el gusano a otros canales de IRC
º Agregar cuentas nuevas en las computadoras infectadas
Envía los datos necesarios al puerto TCP/135, para sacar provecho de la vulnerabilidad RPC/DCOM como el Blaster. En ocasiones, hace lo mismo pero con el puerto TCP/445, para aprovecharse de la segunda de las vulnerabilidades y indicadas (MS03-001).
Examina recursos administrativos, utilizando la siguiente combinación de nombres de usuario y contraseñas:
Usuarios:
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos a modo PRUEBA DE FALLOS O SEGURO
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system\winupdates.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsoft Office Start
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsoft Office Start
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.
Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente (MS03-039) desde el siguiente enlace:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Suerte !
Cantinero (chalan2004)
Este virus es una variante menor de W32/Gaobot.BB. Gusano comprimido con la utilidad Petite, que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.).
Se aprovecha de múltiples vulnerabilidades:
Vulnerabilidad RPC/DCOM (MS03-026)
http://www.vsantivirus.com/vulms03-026-027-028.htm
Vulnerabilidad en el Servicio Localizador (MS03-001)
http://www.vsantivirus.com/vulms03-001-002-003.htm
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htm
La primera (MS03-026), es la misma falla de la que se aprovecha el Lovsan (Blaster) y otros. Utiliza el puerto TCP/135. La falla se produce por un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El parche existe desde julio de 2003.
La segunda (MS03-001), cuyo parche está disponible desde enero de 2003, es explotada a través del puerto TCP/445. La falla ocurre en el sistema localizador RPC (Remote Procedure Call).
En ambos casos, un cortafuegos puede impedir la propagación.
La tercera falla (MS03-007), es un desbordamiento de búfer existente en la librería "ntdll.dll" utilizada por el componente WebDAV de Microsoft IIS 5.0, que permite que al enviar una solicitud al servidor, un intruso puede ser capaz de ejecutar código arbitrariamente en el contexto de seguridad local, menos crítico, dándole al atacante el control completo sobre el sistema.
Con este gusano, un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Al ejecutarse se copia en el siguiente archivo:
c:\windows\system\winupdates.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Office Start = winupdates.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Office Start = winupdates.exe
Una vez en memoria, abre el puerto TCP/6667 para conectarse con un usuario remoto, a través de un canal de IRC (Internet Relay Chat). Utiliza su propio cliente IRC, por lo que no importa que no se tenga instalado ninguno.
Queda a la espera de las instrucciones que le permitirán realizar alguna de la siguientes acciones:
º Administrar la instalación del propio gusano
º Actualizar dinámicamente su propio código
º Descargar y ejecutar archivos
º Robar información confidencial
º Enviar el gusano a otros canales de IRC
º Agregar cuentas nuevas en las computadoras infectadas
Envía los datos necesarios al puerto TCP/135, para sacar provecho de la vulnerabilidad RPC/DCOM como el Blaster. En ocasiones, hace lo mismo pero con el puerto TCP/445, para aprovecharse de la segunda de las vulnerabilidades y indicadas (MS03-001).
Examina recursos administrativos, utilizando la siguiente combinación de nombres de usuario y contraseñas:
Usuarios:
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos a modo PRUEBA DE FALLOS O SEGURO
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system\winupdates.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsoft Office Start
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsoft Office Start
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.
Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente (MS03-039) desde el siguiente enlace:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Suerte !
Cantinero (chalan2004)
