Nuevo virus en XP

el SVCHOST es un proceso nativo de WindowsXPlo del virus voy a
investigar.

Saludos
Caterpillar 1.0


"XP" escribió en el mensaje
news:036601c395ea$02db2cb0$

Expongo esta noticia para informarles del nuevo virus q
hay en windows es un gusuno tipo blaster que crea un
proceso en el sistema llamado svchost com los servicios
pero q está relacionado con un ejecutable llamado
winstart32 encadenado a una seria de scripts .bat
altamente sospechosos, parece ser que el resultado de
dicho gusano es cortar la conexión a internet, lo he
detectado al ver que durante el día perdía muchísimas
vecez mi conexión con mi isp de cable.

Agradecería un parche lo más pronto que sea posible,
mientras tanto aconsejo su rastreo y eliminación.

"Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en el
mensaje news:

el SVCHOST es un proceso nativo de WindowsXPlo del virus voy a
investigar.

Para buscar mejor
;-)

Bichos que usan el winstart32, tanto creando el archivo como usandolo en su
adjunto...

Purol
Winur... Banuris
Mickl

saludos

;-) ya no nada entonces

Saludos
Caterpillar 1.0


"ugtro" escribió en el mensaje
news:

"Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en el
mensaje news:

el SVCHOST es un proceso nativo de WindowsXPlo del virus voy a
investigar.

Para buscar mejor
;-)

Bichos que usan el winstart32, tanto creando el archivo como usandolo
en su adjunto...

Purol
Winur... Banuris
Mickl

saludos

Hola

Ayer averigue lo que es. Mira esto que ahora mismo no encuentro la pagina
donde esta (de todas formas para ver la página mira en un hilo de ayer que
decia que es el archivo service.exe) que te informara sobre ese Virus.


W32/Raleka.B. Utiliza la vulnerabilidad que utiliza el blaster,
algunas casas lo llaman variante E del blaster

Este gusano se vale de la vulnerabilidad RPC/DCOM que también hizo
posible la propagación de gusanos como el Lovsan (Blaster).

Cuando el gusano se ejecuta, intenta descargar los siguientes archivos
desde un servidor de Internet:

· svchost32.exe
· service.exe
· ntrootkit.exe

SERVICE.EXE es una utilidad legítima. SVCHOST32.EXE es una copia del
gusano propiamente dicho, y NTROOTKIT.EXE es una utilidad para ejecutar en
Windows XP. Algunos antivirus identifican este último archivo como NTRootkit
o una variante. Más información:

NTRootkit. Peligrosa herramienta de "ocultamiento"
http://www.vsantivirus.com/ntrootkit.htm

Los archivos son copiados en la siguiente ubicación:

· c:\windows\system32\svchost32.exe
· c:\windows\system32\service.exe
· c:\windows\system32trootkit.exe

El gusano también copia el archivo C:\WINDOWS\SYSTEM32\SVCHOST32.EXE
en C:\WINDOWS\SYSTEM\SVCHOST.EXE.

Los archivos del gusano, luego serán descargados desde la computadora
"atacante", en lugar del sitio Web mencionado antes.

La carpeta "System32" se localiza en C:\Windows (Windows XP) o en
C:\WinNT (Windows NT y 2000), por defecto.

El gusano se instala como un servicio en la máquina infectada,
utilizando la utilidad SERVICE.EXE mencionada antes. El nombre del servicio
es "Remote_Procedure_Call". De este modo, se ejecutará automáticamente cada
vez que Windows se reinicie.

El gusano escanea por el puerto TCP/135, en busca de máquinas
vulnerables al desbordamiento de búfer en el protocolo RPC (vulnerabilidad
RPC/DCOM explicado en el boletín MS03-026 de Microsoft). Las direcciones IP
para la búsqueda, son generadas automáticamente.

Si encuentra máquinas vulnerables, ejecuta el exploit que le permite
abrir un shell remoto (un SHELL es un intérprete de comandos que interpreta
y activa los comandos o utilidades introducidos por el usuario). Desde el
shell, construye y ejecuta un archivo llamado DOWN.COM, detectado como el
troyano Troj/Ntrtkit.A (BKDR_NTRTKIT.A, Troj/RtKit-11, según cada fabricante
de antivirus).

Finalmente, guarda la dirección IP de la víctima en el archivo
SVCHOST.INI de la máquina atacante:

c:\windows\system32\svchost.ini

El gusano utiliza su propio cliente IRC incorporado como parte de su
código, para conectarse a alguno de los siguientes servidores de chat, para
realizar acciones de caballo de Troya:

· irc.aol.com
· irc.banetele.no
· irc.blessed.net
· irc.csbnet.se
· irc.daxnet.no
· irc.desync.com
· irc.homelien.no
· irc.inet.tele.dk
· irc.inter.net.il
· irc.ipv6.homelien.n
· irc.ircsoulz.net
· irc.isdnet.fr
· irc.isprime.com
· irc.limelight.us
· irc.mindspring.com
· irc.mpls.ca
· irc.nac.net
· irc.prison.net
· irc.red-latina.org
· irc.secsup.org
· irc.servercentral.n
· irc.Ultra-IRC.net

Una vez conectado a un canal determinado, el gusano funciona como un
IRC Bot (copia de un usuario en un canal de IRC, generado casi siempre por
un programa, y preparado para responder ciertos comandos que se les envía en
forma remota). De ese modo es capaz de ejecutar cualquiera de los siguientes
comandos:

· Abandonar el canal del servidor de IRC
· Intentar descargar y ejecutar el parche de Microsoft que corrige la
falla del desbordamiento de búfer en el protocolo RPC (MS03-026).
· Descargar archivos de sitios especificados
· Descargar y actualizar copias de si mismo desde un sitio Web.
· Ejecutar archivos
· Enviar información del usuario de la computadora infectada a un
usuario remoto
· Listar todos los procesos activos
· Terminar un proceso
· Unirse a otro canal en el servidor IRC
· El gusano también emite la orden para descargar los archivos
SVCHOST32.EXE, SERVICE.EXE y NTROOTKIT.EXE, desde la computadora "atacante",
en lugar del sitio Web mencionado antes.

La carpeta "System32" se localiza en C:\Windows (Windows XP) o en
C:\WinNT (Windows NT y 2000), por defecto.

El gusano posee la capacidad de descargar una copia actualizada de si
mismo desde un sitio Web.

El siguiente texto está presente en su código:

BenderBOT

Aún cuando un antivirus detecte y elimine este gusano, mientras no se
haya instalado el parche mencionado en dicho boletín, la computadora seguirá
vulnerable al ataque de desbordamiento de búfer desde otras máquinas
infectadas. Cuando estos paquetes son recibidos por cualquier sistema sin el
parche, provocarán la caída del servicio RPC, sin necesidad de que el gusano
esté presente o no en la máquina.

Aplicando el parche, se previene la falla en este servicio. El sistema
debe ser reiniciado luego de su instalación.


Eliminacion Automatica
Descargar y ejecutar la siguiente aplicacion:
http://www.zonavirus.com/programas/...iLovsA.exe

Datos sobre el matavirus:
En el caso que se encuentre el SVCHOST.EXE de 15 kb que es el que ha
sustituido al original y que se trata de un backdoor de IRC, se detienen los
procesos del virus, borramos las claves que llamen al .CMD, y borramos los
SVCHOST32.EXE que existieran y si el tamaño del actual SVCHOST.EXE es mayor
de 14 kB (el del XP mide 12.800 y el del 2000 mide unos 7 kB, lo borramos e
indicamos que tras reiniciar, si no existiera, debe restaurarse con el
original o de otra máquina limpia con igual sistema operativo.

Añadir que despues de probar con distintas maquinas el matavirus las
pruebas incican que con el 2000 y XP, tras borrar el SVCHOST malo, arranca
mas lento pero el Sistema Operativo restaura una copia de seguridad propia.


"Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en el
mensaje news:

;-) ya no nada entonces

Saludos
Caterpillar 1.0


"ugtro" escribió en el mensaje
news:
> "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en el
> mensaje news:
>> el SVCHOST es un proceso nativo de WindowsXPlo del virus voy a
>> investigar.
>
> Para buscar mejor
> ;-)
>
> Bichos que usan el winstart32, tanto creando el archivo como usandolo
> en su adjunto...
>
> Purol
> Winur... Banuris
> Mickl
>
> saludos

| SERVICE.EXE es una utilidad legítima.

Ese archivo desde luego no es de Windows, y cuando dices legitimo no se de
quien...

Un Saludo

Raul Serrano
MS MVP Windows Shell/User



"cousi" escribió en el mensaje
news:
| Hola
|
| Ayer averigue lo que es. Mira esto que ahora mismo no encuentro la pagina
| donde esta (de todas formas para ver la página mira en un hilo de ayer que
| decia que es el archivo service.exe) que te informara sobre ese Virus.
|
|
| W32/Raleka.B. Utiliza la vulnerabilidad que utiliza el blaster,
| algunas casas lo llaman variante E del blaster
|
| Este gusano se vale de la vulnerabilidad RPC/DCOM que también hizo
| posible la propagación de gusanos como el Lovsan (Blaster).
|
| Cuando el gusano se ejecuta, intenta descargar los siguientes
archivos
| desde un servidor de Internet:
|
| · svchost32.exe
| · service.exe
| · ntrootkit.exe
|
| SERVICE.EXE es una utilidad legítima. SVCHOST32.EXE es una copia del
| gusano propiamente dicho, y NTROOTKIT.EXE es una utilidad para ejecutar en
| Windows XP. Algunos antivirus identifican este último archivo como
NTRootkit
| o una variante. Más información:
|
| NTRootkit. Peligrosa herramienta de "ocultamiento"
| http://www.vsantivirus.com/ntrootkit.htm
|
| Los archivos son copiados en la siguiente ubicación:
|
| · c:\windows\system32\svchost32.exe
| · c:\windows\system32\service.exe
| · c:\windows\system32trootkit.exe
|
| El gusano también copia el archivo C:\WINDOWS\SYSTEM32\SVCHOST32.EXE
| en C:\WINDOWS\SYSTEM\SVCHOST.EXE.
|
| Los archivos del gusano, luego serán descargados desde la
computadora
| "atacante", en lugar del sitio Web mencionado antes.
|
| La carpeta "System32" se localiza en C:\Windows (Windows XP) o en
| C:\WinNT (Windows NT y 2000), por defecto.
|
| El gusano se instala como un servicio en la máquina infectada,
| utilizando la utilidad SERVICE.EXE mencionada antes. El nombre del
servicio
| es "Remote_Procedure_Call". De este modo, se ejecutará automáticamente
cada
| vez que Windows se reinicie.
|
| El gusano escanea por el puerto TCP/135, en busca de máquinas
| vulnerables al desbordamiento de búfer en el protocolo RPC (vulnerabilidad
| RPC/DCOM explicado en el boletín MS03-026 de Microsoft). Las direcciones
IP
| para la búsqueda, son generadas automáticamente.
|
| Si encuentra máquinas vulnerables, ejecuta el exploit que le permite
| abrir un shell remoto (un SHELL es un intérprete de comandos que
interpreta
| y activa los comandos o utilidades introducidos por el usuario). Desde el
| shell, construye y ejecuta un archivo llamado DOWN.COM, detectado como el
| troyano Troj/Ntrtkit.A (BKDR_NTRTKIT.A, Troj/RtKit-11, según cada
fabricante
| de antivirus).
|
| Finalmente, guarda la dirección IP de la víctima en el archivo
| SVCHOST.INI de la máquina atacante:
|
| c:\windows\system32\svchost.ini
|
| El gusano utiliza su propio cliente IRC incorporado como parte de su
| código, para conectarse a alguno de los siguientes servidores de chat,
para
| realizar acciones de caballo de Troya:
|
| · irc.aol.com
| · irc.banetele.no
| · irc.blessed.net
| · irc.csbnet.se
| · irc.daxnet.no
| · irc.desync.com
| · irc.homelien.no
| · irc.inet.tele.dk
| · irc.inter.net.il
| · irc.ipv6.homelien.n
| · irc.ircsoulz.net
| · irc.isdnet.fr
| · irc.isprime.com
| · irc.limelight.us
| · irc.mindspring.com
| · irc.mpls.ca
| · irc.nac.net
| · irc.prison.net
| · irc.red-latina.org
| · irc.secsup.org
| · irc.servercentral.n
| · irc.Ultra-IRC.net
|
| Una vez conectado a un canal determinado, el gusano funciona como un
| IRC Bot (copia de un usuario en un canal de IRC, generado casi siempre por
| un programa, y preparado para responder ciertos comandos que se les envía
en
| forma remota). De ese modo es capaz de ejecutar cualquiera de los
siguientes
| comandos:
|
| · Abandonar el canal del servidor de IRC
| · Intentar descargar y ejecutar el parche de Microsoft que corrige
la
| falla del desbordamiento de búfer en el protocolo RPC (MS03-026).
| · Descargar archivos de sitios especificados
| · Descargar y actualizar copias de si mismo desde un sitio Web.
| · Ejecutar archivos
| · Enviar información del usuario de la computadora infectada a un
| usuario remoto
| · Listar todos los procesos activos
| · Terminar un proceso
| · Unirse a otro canal en el servidor IRC
| · El gusano también emite la orden para descargar los archivos
| SVCHOST32.EXE, SERVICE.EXE y NTROOTKIT.EXE, desde la computadora
"atacante",
| en lugar del sitio Web mencionado antes.
|
| La carpeta "System32" se localiza en C:\Windows (Windows XP) o en
| C:\WinNT (Windows NT y 2000), por defecto.
|
| El gusano posee la capacidad de descargar una copia actualizada de
si
| mismo desde un sitio Web.
|
| El siguiente texto está presente en su código:
|
| BenderBOT
|
| Aún cuando un antivirus detecte y elimine este gusano, mientras no
se
| haya instalado el parche mencionado en dicho boletín, la computadora
seguirá
| vulnerable al ataque de desbordamiento de búfer desde otras máquinas
| infectadas. Cuando estos paquetes son recibidos por cualquier sistema sin
el
| parche, provocarán la caída del servicio RPC, sin necesidad de que el
gusano
| esté presente o no en la máquina.
|
| Aplicando el parche, se previene la falla en este servicio. El
sistema
| debe ser reiniciado luego de su instalación.
|
|
| Eliminacion Automatica
| Descargar y ejecutar la siguiente aplicacion:
| http://www.zonavirus.com/programas/...iLovsA.exe
|
| Datos sobre el matavirus:
| En el caso que se encuentre el SVCHOST.EXE de 15 kb que es el que ha
| sustituido al original y que se trata de un backdoor de IRC, se detienen
los
| procesos del virus, borramos las claves que llamen al .CMD, y borramos los
| SVCHOST32.EXE que existieran y si el tamaño del actual SVCHOST.EXE es
mayor
| de 14 kB (el del XP mide 12.800 y el del 2000 mide unos 7 kB, lo borramos
e
| indicamos que tras reiniciar, si no existiera, debe restaurarse con el
| original o de otra máquina limpia con igual sistema operativo.
|
| Añadir que despues de probar con distintas maquinas el matavirus las
| pruebas incican que con el 2000 y XP, tras borrar el SVCHOST malo, arranca
| mas lento pero el Sistema Operativo restaura una copia de seguridad
propia.
|
|
| "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en el
| mensaje news:
| > ;-) ya no nada entonces
| >
| > --
| > Saludos
| > Caterpillar 1.0
| >
| >
| > "ugtro" escribió en el mensaje
| > news:
| > > "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en el
| > > mensaje news:
| > >> el SVCHOST es un proceso nativo de WindowsXPlo del virus voy a
| > >> investigar.
| > >
| > > Para buscar mejor
| > > ;-)
| > >
| > > Bichos que usan el winstart32, tanto creando el archivo como usandolo
| > > en su adjunto...
| > >
| > > Purol
| > > Winur... Banuris
| > > Mickl
| > >
| > > saludos
| >
| >
|
|