Aportaciones 2005
De Oscar - Resúmen de Mónica.

From: Óscar Suárez Cerdeira <oscarsuarezcerdeiraxx@hotmail.com>
To: grumetesxx@eumed.net
Subject: Re: [Grumetes] Gusano IRC/SdBot.CAG

Como eliminar Gusano Irc/SdBot.Cag

Aquí os adjunto unas instrucciones que he encontrado para poder eliminar ese gusano de vuestro ordenador.

INFORMACION: Gusano que se propaga por recursos compartidos de redes y que puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.

CARACTERISTICAS:
Cuando se ejecuta se copia en la siguiente carpeta con el nombre "vcvsdf.exe":
c:\windows\system

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Para ejecutarse en cada inicio del sistema crea la siguiente entrada en el registro de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Microsoft OfficeXP = vcvsdf.exe

El gusano intenta continuamente infectar máquinas remotas, generando direcciones IP al azar para conectarse a través de un puerto. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código. Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de infección, intentando copiarse en dicho equipo:

c$\vcvsdf.exe
c$\winnt\system32\vcvsdf.exe
Admin$\system32\vcvsdf.exe

Intenta conectarse a servidores de IRC y unirse a un canal predeterminado. Actúa como un IRC Bot, esperando las instrucciones en dicho canal.

Algunas acciones posibles:

Auto actualizarse
Capturar imágenes de webcams
Capturas de pantalla
Conectarse a una URL determinada
Descargar y ejecutar archivos
Enviar archivos
Enviar pulsaciones de teclado a la ventana activa
Escanear puertos de otras computadoras
Iniciar un servidor HTTP
Matar procesos e hilos de ejecución
Obtener información del sistema
Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
Robar el caché de contraseñas en Windows 95, 98 y ME
También roba la información de registro (CD-Keys), de varios juegos

INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y elimine los archivos infectados.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", la entrada "Microsoft OfficeXP", en la siguiente clave del registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

La página donde reside esta información está en: Enciclopedia Virus.

Espero consigas eliminarlo por completo. Un saludo. Oscar

Menú.-

From: Mónica Calabia <cycxx@movi.com.ar>
To: "Grumetes" <grumetesxx@eumed.net>
Subject: [Grumetes] Resumen Virus


El famoso virus era uno solo, pero tiene diversos alias, y el antivirus Norton mostraba carteles con los distintos alias:


Nombre: W32/Rbot
Nombre Nod32: Win32/Rbot
Tipo: Gusano de Internet y Caballo de Troya
Alias: Rbot, Backdoor.IRC.Bot, Backdoor.Rbot, Backdoor.SDBot.Gen,
Backdoor.Win32.Rbot.gen, Backdoor/SDBot.Server.Variant,
Exploit:Win32/Lsass.gen, Troj/Rbot, Trojan.Rbot, W32.Spybot.Worm,
W32/Rbot-Fam, W32/Sdbot.gen.worm, W32/Sdbot.worm.gen,
Win32.HLLW.MyBot.based, WORM_RBOT
Fecha: varias
Plataforma: Windows 32-bit
Tamaño: varios

Gracias a Oscar Suarez Cerdeira, que me facilitó esta web: Enciclopedia de virus. Y siguiendo las instrucciones de Oscar para removerlo, obtuve resultados positivos quedando mi computadora libre del gusano.

Saludos, Mónica Calabia en Buenos Aires-Argentina

Menú.-

Página mencionada en este artículo: Enciclopedia de virus.
En La Taberna: Desinstalando Antivirus. Virus. Spyware. Troyanos.Virus.



Recibido: 15/02/2005 | Adaptación texto web: Nina


Nina: Webmaster Taberna del Grumete
..