Aportaciones 2005
Autor Respuesta: OSCAR SUAREZ CERDEIRA. Adaptación texto Web y Gráficos: Nina.
Problema seguridad
PROBLEMA DE SEGURIDAD | LA RESPUESTA DE OSCAR | REPARACIÓN MANUAL | WINDOWS 95/98/XX | WINDOWS XP | INFORMACIÓN ADICIONAL | ACTIVAR ICF | MOSTRAR EXTENSIONES AUTÉNTICAS ARCHIVOS | LIMPIEZA VIRUS EN W2000/XP|

From: "Monica Calabia" <cycxx@movi.com.ar>
To: "Grumetes" <grumetesxx@eumed.net>
Subject: [Grumetes] Problemas de seguridad

Hola compañeros de viaje:
Una amiga tiene un problema que me consulta:
Ella tiene W2000 con conexión a internet de banda ancha. El Norton le pasa este aviso: Norton Internet Worm Protection detectó que un sistema remoto está intentando acceder a su PC.
Ruta: C:\winnt\system32\Issas.exe
Buscando en internet encuentro que es un virus tipo Sasser.
También aparece el aviso del Zone Alarm.
Si alguien tuvo este virus y sabe cómo eliminarlo, les agradeceré mucho que me cuenten.
Muchas gracias!
Mónica Calabia - Argentina


From: Óscar Suárez Cerdeira <oscarsuarezcerdeiraxx@hotmail.com>
To: grumetesxx@eumed.net
Subject: RE: [Grumetes] Problemas de seguridad


Atención: La información en que se inspirado este resumen está en: http://www.vsantivirus.com/irc-sdbot- yk.htm


Hola Monica: Aqui te mando lo que tienes que hacer con el dichoso virus:

Se copia como "isass.exe" siendo su nombre: IRC/SdBot.YK
Tipo: Gusano de Internet y caballo de Troya
Alias: SdBot.YK, WORM_SDBOT.YK, IRC/BackDoor.SdBot, Backdoor.SdBot.gen, Backdoor.SDBot.
Fecha: 5/oct/04
Plataforma: Windows 32-bit
Tamaño: 96,256 bytes

Se trata de un gusano que se propaga a través de recursos compartidos de redes, y que puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad para tomar el control del equipo infectado y cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre: c:\windows\system\isass.exe

Crea, entre otras, las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run System Document Application = "isass.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce System Document Application = "isass.exe"

El gusano trata en todo momento de infectar máquinas remotas, generando direcciones IP al azar para conectarse a través del puerto 445 para ello se sirve de una extensa lista de usuarios y contraseñas predefinidas en su código. Cuando la conexión es un éxito, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$ y si los encuentra inicia su rutina de infección tratando de copiarse en dicho equipo:

c$\isass.exe
c$\winnt\system32\isass.exe
Admin$\system32\isass.exe

Posee un componente de acceso por puerta trasera, que intenta conectarse a servidores de IRC para adherirse a a un canal predeterminado actuando como un IRC Bot, esperando las instrucciones de dicho canal.

Algunas acciones posibles:
Auto actualizarse
Capturar imágenes de webcams
Capturas de pantalla
Conectarse a una URL determinada
Descargar y ejecutar archivos
Enviar archivos
Enviar pulsaciones de teclado a la ventana activa
Escanear puertos de otras computadoras
Iniciar un servidor HTTP
Obtener información del sistema
Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
Robar el caché de contraseñas en Windows 95, 98 y ME
También roba la información de registro de múltiples juegos.
A Menú

REPARACIÓN MANUAL: Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall/cortafuegos como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm, existe una versión gratuíta para uso personal, se trata de un cortafuegos, que impide la ejecución de cualquier adjunto con posibilidades de poseer virus. Más información sobre como configurar Zone Alarm en http://www.vsantivirus.com/za.htm

Antivirus: Actualiza tus antivirus con las últimas definiciones siguiendo las siguientes instrucciones:
1. Reinicia Windows en modo a prueba de fallos: http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecuta tu antivirus en modo escaneo, revisando todos tus discos duros.
3. Borra los archivos detectados como infectados.
A Menú

Borrando los archivos agregados por el virus.

* En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas.
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas".
3. En "Nombre" ingrese (o corte y pegue), lo siguiente: ISASS.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados.
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
A Menú

* En Windows XP

1. Selecciona Inicio, Buscar
2. Selecciona"Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingresa la siguiente cadena: ISASS.EXE
4. Verifica que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas".
6. Selecciona"Buscar en carpetas del sistema".
7. Selecciona "Buscar en subcarpetas".

8. Haz clic en "Búsqueda" y borra todos los archivos encontrados.
9. Cierra la ventana de búsqueda.
10. Pincha con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y selecciona"Vaciar la papelera de reciclaje".
A Menú

Editar Registro. Nota: algunas de las ramas mencionadas pueden no estar presentes puesto que eso depende de la versión de Windows instalada en tu sistema operativo

1. Ejecuta el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haz clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run
3. Haz clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busca y borra la siguiente entrada: System Document Application
4. En el panel izquierdo del editor, haz clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunOnce
5. Haz clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busca y borra la siguiente entrada: System Document Application
6. En el panel izquierdo del editor, haz clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
7. Haz clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busca y borra la siguiente entrada: System Document Application
8. En el panel izquierdo del editor, haz clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunOnce
9. Haz clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busca y borra la siguiente entrada: System Document Application
10. En el panel izquierdo del editor, haz clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices
11. Haz clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", encuentra y borra la siguiente entrada: System Document Application
12. Utiliza "Registro", "Salir" para abandonar el editor y confirmar los cambios.
13. Reinicia tu PC.
A Menú

Información adicional: Cambio de contraseñas. En el caso de haber sido infectado con este troyano, se recomienda modificar todas las claves de acceso, así como cualquier información que comprometa la información relativa a operaciones bancarias, y tarjetas de crédito. Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
A Menú

Para activar ICF en Windows XP, siga estos pasos:

1. Selecciona Inicio, Panel de Control, Conexiones de Red.
2. Pincha con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y selecciona Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" activa la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar.
A Menú

Mostrar las extensiones verdaderas de los archivos: Para poder ver las extensiones verdaderas de los archivos y además visualizar los atributos de "Oculto", proceda de la siguiente manera:

1. Ejecuta el Explorador de Windows.
2. Selecciona el menú 'Ver' o el menú 'Herramientas', y pincha en 'Opciones' u 'Opciones de carpetas'.
3. Selecciona 'Ver'.
4. Desactiva la opción "Ocultar extensiones para los tipos de archivos conocidos".
5. En Windows 95/NT, marca la opción "Mostrar todos los archivos y carpetas ocultos". En Windows 98, bajo 'Archivos ocultos' señala mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', marca 'Mostrar todos los archivos y carpetas ocultos' y Desactiva: 'Ocultar archivos protegidos del sistema operativo'.
6. Pincha con el ratón en 'Aplicar' y en 'Aceptar'.
A Menú

Limpieza de virus en Windows Me y XP. Cuando el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de tu PC, deberás deshabilitar la herramienta "Restaurar sistema".

Un saludo y espero elimines al dichoso troyano. Oscar Suarez Cerdeira
A Menú

PROBLEMA DE SEGURIDAD | LA RESPUESTA DE OSCAR | REPARACIÓN MANUAL | WINDOWS95/XX | WINDOWS XP | INFORMACIÓN ADICIONAL | ACTIVAR ICF | MOSTRAR EXTENSIONES DE ARCHIVOS | LIMPIEZA VIRUS EN W2000/XP|
Sitios web mencionados en este artículo:
VSANTIVIRUS | EN LA TABERNA DEL GRUMETE|CONFIGURACIÓN ZONE ALARM|



Mensaje recibido: 3/11/2005 | Adaptación texto web: Nina | Vigo 4 Noviembre 2005


Nina: Webmaster Taberna del Grumete
..