Nuevo virus en XP

Soy conciente de que es el nombre de un proceso nativo del
sistema, por esa razón quizas se oculta bajo ese nombre
para no levantar sospechas cuando buscas un proceso tipo
blaster, pero lo raro es q no solo está en procesos si no
q está en aplicaciones y que el proceso al q corresponde
es winstart32.
Creo q se propaga por los programas de p2p, porque solo me
corta la conexión al poner dichos programas (como blaster
que solo actuava al conectarse, pero más selecto)

activa el cortafuegos si no lo tuvieses así...un cortafuegos vale mas
que mil antivirus :-).

Saludos
Caterpillar 1.0


"cousi" escribió en el mensaje
news:

Hola

Ayer averigue lo que es. Mira esto que ahora mismo no encuentro la
pagina donde esta (de todas formas para ver la página mira en un hilo
de ayer que decia que es el archivo service.exe) que te informara
sobre ese Virus.


W32/Raleka.B. Utiliza la vulnerabilidad que utiliza el blaster,
algunas casas lo llaman variante E del blaster

Este gusano se vale de la vulnerabilidad RPC/DCOM que también
hizo posible la propagación de gusanos como el Lovsan (Blaster).

Cuando el gusano se ejecuta, intenta descargar los siguientes
archivos desde un servidor de Internet:

· svchost32.exe
· service.exe
· ntrootkit.exe

SERVICE.EXE es una utilidad legítima. SVCHOST32.EXE es una
copia del gusano propiamente dicho, y NTROOTKIT.EXE es una utilidad
para ejecutar en Windows XP. Algunos antivirus identifican este
último archivo como NTRootkit o una variante. Más información:

NTRootkit. Peligrosa herramienta de "ocultamiento"
http://www.vsantivirus.com/ntrootkit.htm

Los archivos son copiados en la siguiente ubicación:

· c:\windows\system32\svchost32.exe
· c:\windows\system32\service.exe
· c:\windows\system32trootkit.exe

El gusano también copia el archivo
C:\WINDOWS\SYSTEM32\SVCHOST32.EXE en C:\WINDOWS\SYSTEM\SVCHOST.EXE.

Los archivos del gusano, luego serán descargados desde la
computadora "atacante", en lugar del sitio Web mencionado antes.

La carpeta "System32" se localiza en C:\Windows (Windows XP) o
en C:\WinNT (Windows NT y 2000), por defecto.

El gusano se instala como un servicio en la máquina infectada,
utilizando la utilidad SERVICE.EXE mencionada antes. El nombre del
servicio es "Remote_Procedure_Call". De este modo, se ejecutará
automáticamente cada vez que Windows se reinicie.

El gusano escanea por el puerto TCP/135, en busca de máquinas
vulnerables al desbordamiento de búfer en el protocolo RPC
(vulnerabilidad RPC/DCOM explicado en el boletín MS03-026 de
Microsoft). Las direcciones IP para la búsqueda, son generadas
automáticamente.

Si encuentra máquinas vulnerables, ejecuta el exploit que le
permite abrir un shell remoto (un SHELL es un intérprete de comandos
que interpreta y activa los comandos o utilidades introducidos por el
usuario). Desde el shell, construye y ejecuta un archivo llamado
DOWN.COM, detectado como el troyano Troj/Ntrtkit.A (BKDR_NTRTKIT.A,
Troj/RtKit-11, según cada fabricante de antivirus).

Finalmente, guarda la dirección IP de la víctima en el archivo
SVCHOST.INI de la máquina atacante:

c:\windows\system32\svchost.ini

El gusano utiliza su propio cliente IRC incorporado como parte
de su código, para conectarse a alguno de los siguientes servidores
de chat, para realizar acciones de caballo de Troya:

· irc.aol.com
· irc.banetele.no
· irc.blessed.net
· irc.csbnet.se
· irc.daxnet.no
· irc.desync.com
· irc.homelien.no
· irc.inet.tele.dk
· irc.inter.net.il
· irc.ipv6.homelien.n
· irc.ircsoulz.net
· irc.isdnet.fr
· irc.isprime.com
· irc.limelight.us
· irc.mindspring.com
· irc.mpls.ca
· irc.nac.net
· irc.prison.net
· irc.red-latina.org
· irc.secsup.org
· irc.servercentral.n
· irc.Ultra-IRC.net

Una vez conectado a un canal determinado, el gusano funciona
como un IRC Bot (copia de un usuario en un canal de IRC, generado
casi siempre por un programa, y preparado para responder ciertos
comandos que se les envía en forma remota). De ese modo es capaz de
ejecutar cualquiera de los siguientes comandos:

· Abandonar el canal del servidor de IRC
· Intentar descargar y ejecutar el parche de Microsoft que
corrige la falla del desbordamiento de búfer en el protocolo RPC
(MS03-026). · Descargar archivos de sitios especificados
· Descargar y actualizar copias de si mismo desde un sitio Web.
· Ejecutar archivos
· Enviar información del usuario de la computadora infectada a
un usuario remoto
· Listar todos los procesos activos
· Terminar un proceso
· Unirse a otro canal en el servidor IRC
· El gusano también emite la orden para descargar los archivos
SVCHOST32.EXE, SERVICE.EXE y NTROOTKIT.EXE, desde la computadora
"atacante", en lugar del sitio Web mencionado antes.

La carpeta "System32" se localiza en C:\Windows (Windows XP) o
en C:\WinNT (Windows NT y 2000), por defecto.

El gusano posee la capacidad de descargar una copia actualizada
de si mismo desde un sitio Web.

El siguiente texto está presente en su código:

BenderBOT

Aún cuando un antivirus detecte y elimine este gusano, mientras
no se haya instalado el parche mencionado en dicho boletín, la
computadora seguirá vulnerable al ataque de desbordamiento de búfer
desde otras máquinas infectadas. Cuando estos paquetes son recibidos
por cualquier sistema sin el parche, provocarán la caída del servicio
RPC, sin necesidad de que el gusano esté presente o no en la máquina.

Aplicando el parche, se previene la falla en este servicio. El
sistema debe ser reiniciado luego de su instalación.


Eliminacion Automatica
Descargar y ejecutar la siguiente aplicacion:
http://www.zonavirus.com/programas/...iLovsA.exe

Datos sobre el matavirus:
En el caso que se encuentre el SVCHOST.EXE de 15 kb que es el
que ha sustituido al original y que se trata de un backdoor de IRC,
se detienen los procesos del virus, borramos las claves que llamen al
.CMD, y borramos los SVCHOST32.EXE que existieran y si el tamaño del
actual SVCHOST.EXE es mayor de 14 kB (el del XP mide 12.800 y el del
2000 mide unos 7 kB, lo borramos e indicamos que tras reiniciar, si
no existiera, debe restaurarse con el original o de otra máquina
limpia con igual sistema operativo.

Añadir que despues de probar con distintas maquinas el
matavirus las pruebas incican que con el 2000 y XP, tras borrar el
SVCHOST malo, arranca mas lento pero el Sistema Operativo restaura
una copia de seguridad propia.


"Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en el
mensaje news:

;-) ya no nada entonces

Saludos
Caterpillar 1.0


"ugtro" escribió en el mensaje
news:

"Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en
el mensaje news:

el SVCHOST es un proceso nativo de WindowsXPlo del virus voy a
investigar.

Para buscar mejor
;-)

Bichos que usan el winstart32, tanto creando el archivo como
usandolo en su adjunto...

Purol
Winur... Banuris
Mickl

saludos

Hola Raul

Yo no digo que sea de windows, lo unico que puse fue lo que decia la página
web de donde lo saque para mi vecino, es esta la página web en la cual
puedes ver que es exactamente lo que puse. Yo no se si es de windows o no
ese archivo, lo unico que se es que en mi maquina win xp porf no esta, por
lo tanto entiendo que no debe de ser.

La pagina web es la siguiente

http://www.zonavirus.com/Detalle_No...?noticiaD7
Un saludo.

Jose Mª Cousiño
"Raul Serrano [MS MVP]" escribió en el mensaje
news:%23oMio$

| SERVICE.EXE es una utilidad legítima.

Ese archivo desde luego no es de Windows, y cuando dices legitimo no se de
quien...

Un Saludo

Raul Serrano
MS MVP Windows Shell/User



"cousi" escribió en el mensaje
news:
| Hola
|
| Ayer averigue lo que es. Mira esto que ahora mismo no encuentro la

pagina

| donde esta (de todas formas para ver la página mira en un hilo de ayer

que

| decia que es el archivo service.exe) que te informara sobre ese Virus.
|
|
| W32/Raleka.B. Utiliza la vulnerabilidad que utiliza el blaster,
| algunas casas lo llaman variante E del blaster
|
| Este gusano se vale de la vulnerabilidad RPC/DCOM que también hizo
| posible la propagación de gusanos como el Lovsan (Blaster).
|
| Cuando el gusano se ejecuta, intenta descargar los siguientes
archivos
| desde un servidor de Internet:
|
| · svchost32.exe
| · service.exe
| · ntrootkit.exe
|
| SERVICE.EXE es una utilidad legítima. SVCHOST32.EXE es una copia

del

| gusano propiamente dicho, y NTROOTKIT.EXE es una utilidad para ejecutar

en

| Windows XP. Algunos antivirus identifican este último archivo como
NTRootkit
| o una variante. Más información:
|
| NTRootkit. Peligrosa herramienta de "ocultamiento"
| http://www.vsantivirus.com/ntrootkit.htm
|
| Los archivos son copiados en la siguiente ubicación:
|
| · c:\windows\system32\svchost32.exe
| · c:\windows\system32\service.exe
| · c:\windows\system32trootkit.exe
|
| El gusano también copia el archivo

C:\WINDOWS\SYSTEM32\SVCHOST32.EXE

| en C:\WINDOWS\SYSTEM\SVCHOST.EXE.
|
| Los archivos del gusano, luego serán descargados desde la
computadora
| "atacante", en lugar del sitio Web mencionado antes.
|
| La carpeta "System32" se localiza en C:\Windows (Windows XP) o en
| C:\WinNT (Windows NT y 2000), por defecto.
|
| El gusano se instala como un servicio en la máquina infectada,
| utilizando la utilidad SERVICE.EXE mencionada antes. El nombre del
servicio
| es "Remote_Procedure_Call". De este modo, se ejecutará automáticamente
cada
| vez que Windows se reinicie.
|
| El gusano escanea por el puerto TCP/135, en busca de máquinas
| vulnerables al desbordamiento de búfer en el protocolo RPC

(vulnerabilidad

| RPC/DCOM explicado en el boletín MS03-026 de Microsoft). Las direcciones
IP
| para la búsqueda, son generadas automáticamente.
|
| Si encuentra máquinas vulnerables, ejecuta el exploit que le

permite

| abrir un shell remoto (un SHELL es un intérprete de comandos que
interpreta
| y activa los comandos o utilidades introducidos por el usuario). Desde

el

| shell, construye y ejecuta un archivo llamado DOWN.COM, detectado como

el

| troyano Troj/Ntrtkit.A (BKDR_NTRTKIT.A, Troj/RtKit-11, según cada
fabricante
| de antivirus).
|
| Finalmente, guarda la dirección IP de la víctima en el archivo
| SVCHOST.INI de la máquina atacante:
|
| c:\windows\system32\svchost.ini
|
| El gusano utiliza su propio cliente IRC incorporado como parte de

su

| código, para conectarse a alguno de los siguientes servidores de chat,
para
| realizar acciones de caballo de Troya:
|
| · irc.aol.com
| · irc.banetele.no
| · irc.blessed.net
| · irc.csbnet.se
| · irc.daxnet.no
| · irc.desync.com
| · irc.homelien.no
| · irc.inet.tele.dk
| · irc.inter.net.il
| · irc.ipv6.homelien.n
| · irc.ircsoulz.net
| · irc.isdnet.fr
| · irc.isprime.com
| · irc.limelight.us
| · irc.mindspring.com
| · irc.mpls.ca
| · irc.nac.net
| · irc.prison.net
| · irc.red-latina.org
| · irc.secsup.org
| · irc.servercentral.n
| · irc.Ultra-IRC.net
|
| Una vez conectado a un canal determinado, el gusano funciona como

un

| IRC Bot (copia de un usuario en un canal de IRC, generado casi siempre

por

| un programa, y preparado para responder ciertos comandos que se les

envía

en
| forma remota). De ese modo es capaz de ejecutar cualquiera de los
siguientes
| comandos:
|
| · Abandonar el canal del servidor de IRC
| · Intentar descargar y ejecutar el parche de Microsoft que corrige
la
| falla del desbordamiento de búfer en el protocolo RPC (MS03-026).
| · Descargar archivos de sitios especificados
| · Descargar y actualizar copias de si mismo desde un sitio Web.
| · Ejecutar archivos
| · Enviar información del usuario de la computadora infectada a un
| usuario remoto
| · Listar todos los procesos activos
| · Terminar un proceso
| · Unirse a otro canal en el servidor IRC
| · El gusano también emite la orden para descargar los archivos
| SVCHOST32.EXE, SERVICE.EXE y NTROOTKIT.EXE, desde la computadora
"atacante",
| en lugar del sitio Web mencionado antes.
|
| La carpeta "System32" se localiza en C:\Windows (Windows XP) o en
| C:\WinNT (Windows NT y 2000), por defecto.
|
| El gusano posee la capacidad de descargar una copia actualizada de
si
| mismo desde un sitio Web.
|
| El siguiente texto está presente en su código:
|
| BenderBOT
|
| Aún cuando un antivirus detecte y elimine este gusano, mientras no
se
| haya instalado el parche mencionado en dicho boletín, la computadora
seguirá
| vulnerable al ataque de desbordamiento de búfer desde otras máquinas
| infectadas. Cuando estos paquetes son recibidos por cualquier sistema

sin

el
| parche, provocarán la caída del servicio RPC, sin necesidad de que el
gusano
| esté presente o no en la máquina.
|
| Aplicando el parche, se previene la falla en este servicio. El
sistema
| debe ser reiniciado luego de su instalación.
|
|
| Eliminacion Automatica
| Descargar y ejecutar la siguiente aplicacion:
| http://www.zonavirus.com/programas/...iLovsA.exe
|
| Datos sobre el matavirus:
| En el caso que se encuentre el SVCHOST.EXE de 15 kb que es el que

ha

| sustituido al original y que se trata de un backdoor de IRC, se detienen
los
| procesos del virus, borramos las claves que llamen al .CMD, y borramos

los

| SVCHOST32.EXE que existieran y si el tamaño del actual SVCHOST.EXE es
mayor
| de 14 kB (el del XP mide 12.800 y el del 2000 mide unos 7 kB, lo

borramos

e
| indicamos que tras reiniciar, si no existiera, debe restaurarse con el
| original o de otra máquina limpia con igual sistema operativo.
|
| Añadir que despues de probar con distintas maquinas el matavirus

las

| pruebas incican que con el 2000 y XP, tras borrar el SVCHOST malo,

arranca

| mas lento pero el Sistema Operativo restaura una copia de seguridad
propia.
|
|
| "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en el
| mensaje news:
| > ;-) ya no nada entonces
| >
| > --
| > Saludos
| > Caterpillar 1.0
| >
| >
| > "ugtro" escribió en el mensaje
| > news:
| > > "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en

el

| > > mensaje news:
| > >> el SVCHOST es un proceso nativo de WindowsXPlo del virus voy a
| > >> investigar.
| > >
| > > Para buscar mejor
| > > ;-)
| > >
| > > Bichos que usan el winstart32, tanto creando el archivo como

usandolo

| > > en su adjunto...
| > >
| > > Purol
| > > Winur... Banuris
| > > Mickl
| > >
| > > saludos
| >
| >
|
|

Ademas yo soy novato en esto, y esto aprendiendo, de ahi pido disculpas si
meto la pata en algo.

Hasta luego.

Jose Mª Cousiño
"cousi" escribió en el mensaje
news:

Hola Raul

Yo no digo que sea de windows, lo unico que puse fue lo que decia la

página

web de donde lo saque para mi vecino, es esta la página web en la cual
puedes ver que es exactamente lo que puse. Yo no se si es de windows o no
ese archivo, lo unico que se es que en mi maquina win xp porf no esta, por
lo tanto entiendo que no debe de ser.

La pagina web es la siguiente

http://www.zonavirus.com/Detalle_No...?noticiaD7
Un saludo.

Jose Mª Cousiño
"Raul Serrano [MS MVP]" escribió en el mensaje
news:%23oMio$
> | SERVICE.EXE es una utilidad legítima.
>
> Ese archivo desde luego no es de Windows, y cuando dices legitimo no se

de

> quien...
>
> Un Saludo
>
> Raul Serrano
> MS MVP Windows Shell/User
>
>
>
> "cousi" escribió en el mensaje
> news:
> | Hola
> |
> | Ayer averigue lo que es. Mira esto que ahora mismo no encuentro la
pagina
> | donde esta (de todas formas para ver la página mira en un hilo de ayer
que
> | decia que es el archivo service.exe) que te informara sobre ese Virus.
> |
> |
> | W32/Raleka.B. Utiliza la vulnerabilidad que utiliza el blaster,
> | algunas casas lo llaman variante E del blaster
> |
> | Este gusano se vale de la vulnerabilidad RPC/DCOM que también

hizo

> | posible la propagación de gusanos como el Lovsan (Blaster).
> |
> | Cuando el gusano se ejecuta, intenta descargar los siguientes
> archivos
> | desde un servidor de Internet:
> |
> | · svchost32.exe
> | · service.exe
> | · ntrootkit.exe
> |
> | SERVICE.EXE es una utilidad legítima. SVCHOST32.EXE es una copia
del
> | gusano propiamente dicho, y NTROOTKIT.EXE es una utilidad para

ejecutar

en
> | Windows XP. Algunos antivirus identifican este último archivo como
> NTRootkit
> | o una variante. Más información:
> |
> | NTRootkit. Peligrosa herramienta de "ocultamiento"
> | http://www.vsantivirus.com/ntrootkit.htm
> |
> | Los archivos son copiados en la siguiente ubicación:
> |
> | · c:\windows\system32\svchost32.exe
> | · c:\windows\system32\service.exe
> | · c:\windows\system32trootkit.exe
> |
> | El gusano también copia el archivo
C:\WINDOWS\SYSTEM32\SVCHOST32.EXE
> | en C:\WINDOWS\SYSTEM\SVCHOST.EXE.
> |
> | Los archivos del gusano, luego serán descargados desde la
> computadora
> | "atacante", en lugar del sitio Web mencionado antes.
> |
> | La carpeta "System32" se localiza en C:\Windows (Windows XP) o

en

> | C:\WinNT (Windows NT y 2000), por defecto.
> |
> | El gusano se instala como un servicio en la máquina infectada,
> | utilizando la utilidad SERVICE.EXE mencionada antes. El nombre del
> servicio
> | es "Remote_Procedure_Call". De este modo, se ejecutará automáticamente
> cada
> | vez que Windows se reinicie.
> |
> | El gusano escanea por el puerto TCP/135, en busca de máquinas
> | vulnerables al desbordamiento de búfer en el protocolo RPC
(vulnerabilidad
> | RPC/DCOM explicado en el boletín MS03-026 de Microsoft). Las

direcciones

> IP
> | para la búsqueda, son generadas automáticamente.
> |
> | Si encuentra máquinas vulnerables, ejecuta el exploit que le
permite
> | abrir un shell remoto (un SHELL es un intérprete de comandos que
> interpreta
> | y activa los comandos o utilidades introducidos por el usuario). Desde
el
> | shell, construye y ejecuta un archivo llamado DOWN.COM, detectado como
el
> | troyano Troj/Ntrtkit.A (BKDR_NTRTKIT.A, Troj/RtKit-11, según cada
> fabricante
> | de antivirus).
> |
> | Finalmente, guarda la dirección IP de la víctima en el archivo
> | SVCHOST.INI de la máquina atacante:
> |
> | c:\windows\system32\svchost.ini
> |
> | El gusano utiliza su propio cliente IRC incorporado como parte

de

su
> | código, para conectarse a alguno de los siguientes servidores de chat,
> para
> | realizar acciones de caballo de Troya:
> |
> | · irc.aol.com
> | · irc.banetele.no
> | · irc.blessed.net
> | · irc.csbnet.se
> | · irc.daxnet.no
> | · irc.desync.com
> | · irc.homelien.no
> | · irc.inet.tele.dk
> | · irc.inter.net.il
> | · irc.ipv6.homelien.n
> | · irc.ircsoulz.net
> | · irc.isdnet.fr
> | · irc.isprime.com
> | · irc.limelight.us
> | · irc.mindspring.com
> | · irc.mpls.ca
> | · irc.nac.net
> | · irc.prison.net
> | · irc.red-latina.org
> | · irc.secsup.org
> | · irc.servercentral.n
> | · irc.Ultra-IRC.net
> |
> | Una vez conectado a un canal determinado, el gusano funciona

como

un
> | IRC Bot (copia de un usuario en un canal de IRC, generado casi siempre
por
> | un programa, y preparado para responder ciertos comandos que se les
envía
> en
> | forma remota). De ese modo es capaz de ejecutar cualquiera de los
> siguientes
> | comandos:
> |
> | · Abandonar el canal del servidor de IRC
> | · Intentar descargar y ejecutar el parche de Microsoft que

corrige

> la
> | falla del desbordamiento de búfer en el protocolo RPC (MS03-026).
> | · Descargar archivos de sitios especificados
> | · Descargar y actualizar copias de si mismo desde un sitio Web.
> | · Ejecutar archivos
> | · Enviar información del usuario de la computadora infectada a

un

> | usuario remoto
> | · Listar todos los procesos activos
> | · Terminar un proceso
> | · Unirse a otro canal en el servidor IRC
> | · El gusano también emite la orden para descargar los archivos
> | SVCHOST32.EXE, SERVICE.EXE y NTROOTKIT.EXE, desde la computadora
> "atacante",
> | en lugar del sitio Web mencionado antes.
> |
> | La carpeta "System32" se localiza en C:\Windows (Windows XP) o

en

> | C:\WinNT (Windows NT y 2000), por defecto.
> |
> | El gusano posee la capacidad de descargar una copia actualizada

de

> si
> | mismo desde un sitio Web.
> |
> | El siguiente texto está presente en su código:
> |
> | BenderBOT
> |
> | Aún cuando un antivirus detecte y elimine este gusano, mientras

no

> se
> | haya instalado el parche mencionado en dicho boletín, la computadora
> seguirá
> | vulnerable al ataque de desbordamiento de búfer desde otras máquinas
> | infectadas. Cuando estos paquetes son recibidos por cualquier sistema
sin
> el
> | parche, provocarán la caída del servicio RPC, sin necesidad de que el
> gusano
> | esté presente o no en la máquina.
> |
> | Aplicando el parche, se previene la falla en este servicio. El
> sistema
> | debe ser reiniciado luego de su instalación.
> |
> |
> | Eliminacion Automatica
> | Descargar y ejecutar la siguiente aplicacion:
> | http://www.zonavirus.com/programas/...iLovsA.exe
> |
> | Datos sobre el matavirus:
> | En el caso que se encuentre el SVCHOST.EXE de 15 kb que es el

que

ha
> | sustituido al original y que se trata de un backdoor de IRC, se

detienen

> los
> | procesos del virus, borramos las claves que llamen al .CMD, y borramos
los
> | SVCHOST32.EXE que existieran y si el tamaño del actual SVCHOST.EXE es
> mayor
> | de 14 kB (el del XP mide 12.800 y el del 2000 mide unos 7 kB, lo
borramos
> e
> | indicamos que tras reiniciar, si no existiera, debe restaurarse con el
> | original o de otra máquina limpia con igual sistema operativo.
> |
> | Añadir que despues de probar con distintas maquinas el matavirus
las
> | pruebas incican que con el 2000 y XP, tras borrar el SVCHOST malo,
arranca
> | mas lento pero el Sistema Operativo restaura una copia de seguridad
> propia.
> |
> |
> | "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en el
> | mensaje news:
> | > ;-) ya no nada entonces
> | >
> | > --
> | > Saludos
> | > Caterpillar 1.0
> | >
> | >
> | > "ugtro" escribió en el mensaje
> | > news:
> | > > "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió

en

el
> | > > mensaje news:
> | > >> el SVCHOST es un proceso nativo de WindowsXPlo del virus voy

a

> | > >> investigar.
> | > >
> | > > Para buscar mejor
> | > > ;-)
> | > >
> | > > Bichos que usan el winstart32, tanto creando el archivo como
usandolo
> | > > en su adjunto...
> | > >
> | > > Purol
> | > > Winur... Banuris
> | > > Mickl
> | > >
> | > > saludos
> | >
> | >
> |
> |
>
>

no hombre no te preocupes, solo queria resaltar que service.exe es distinto
a services.exe (que si es de Windows) :)

Un Saludo

Raul Serrano
MS MVP Windows Shell/User



"cousi" escribió en el mensaje
news:
| Ademas yo soy novato en esto, y esto aprendiendo, de ahi pido disculpas si
| meto la pata en algo.
|
| Hasta luego.
|
| Jose Mª Cousiño
| "cousi" escribió en el mensaje
| news:
| > Hola Raul
| >
| > Yo no digo que sea de windows, lo unico que puse fue lo que decia la
| página
| > web de donde lo saque para mi vecino, es esta la página web en la cual
| > puedes ver que es exactamente lo que puse. Yo no se si es de windows o
no
| > ese archivo, lo unico que se es que en mi maquina win xp porf no esta,
por
| > lo tanto entiendo que no debe de ser.
| >
| > La pagina web es la siguiente
| >
| > http://www.zonavirus.com/Detalle_No...?noticiaD7
| > Un saludo.
| >
| > Jose Mª Cousiño
| > "Raul Serrano [MS MVP]" escribió en el mensaje
| > news:%23oMio$
| > > | SERVICE.EXE es una utilidad legítima.
| > >
| > > Ese archivo desde luego no es de Windows, y cuando dices legitimo no
se
| de
| > > quien...
| > >
| > > --
| > > Un Saludo
| > >
| > > Raul Serrano
| > > MS MVP Windows Shell/User
| > >
| > >
| > >
| > > "cousi" escribió en el mensaje
| > > news:
| > > | Hola
| > > |
| > > | Ayer averigue lo que es. Mira esto que ahora mismo no encuentro la
| > pagina
| > > | donde esta (de todas formas para ver la página mira en un hilo de
ayer
| > que
| > > | decia que es el archivo service.exe) que te informara sobre ese
Virus.
| > > |
| > > |
| > > | W32/Raleka.B. Utiliza la vulnerabilidad que utiliza el
blaster,
| > > | algunas casas lo llaman variante E del blaster
| > > |
| > > | Este gusano se vale de la vulnerabilidad RPC/DCOM que también
| hizo
| > > | posible la propagación de gusanos como el Lovsan (Blaster).
| > > |
| > > | Cuando el gusano se ejecuta, intenta descargar los siguientes
| > > archivos
| > > | desde un servidor de Internet:
| > > |
| > > | · svchost32.exe
| > > | · service.exe
| > > | · ntrootkit.exe
| > > |
| > > | SERVICE.EXE es una utilidad legítima. SVCHOST32.EXE es una
copia
| > del
| > > | gusano propiamente dicho, y NTROOTKIT.EXE es una utilidad para
| ejecutar
| > en
| > > | Windows XP. Algunos antivirus identifican este último archivo como
| > > NTRootkit
| > > | o una variante. Más información:
| > > |
| > > | NTRootkit. Peligrosa herramienta de "ocultamiento"
| > > | http://www.vsantivirus.com/ntrootkit.htm
| > > |
| > > | Los archivos son copiados en la siguiente ubicación:
| > > |
| > > | · c:\windows\system32\svchost32.exe
| > > | · c:\windows\system32\service.exe
| > > | · c:\windows\system32trootkit.exe
| > > |
| > > | El gusano también copia el archivo
| > C:\WINDOWS\SYSTEM32\SVCHOST32.EXE
| > > | en C:\WINDOWS\SYSTEM\SVCHOST.EXE.
| > > |
| > > | Los archivos del gusano, luego serán descargados desde la
| > > computadora
| > > | "atacante", en lugar del sitio Web mencionado antes.
| > > |
| > > | La carpeta "System32" se localiza en C:\Windows (Windows XP) o
| en
| > > | C:\WinNT (Windows NT y 2000), por defecto.
| > > |
| > > | El gusano se instala como un servicio en la máquina infectada,
| > > | utilizando la utilidad SERVICE.EXE mencionada antes. El nombre del
| > > servicio
| > > | es "Remote_Procedure_Call". De este modo, se ejecutará
automáticamente
| > > cada
| > > | vez que Windows se reinicie.
| > > |
| > > | El gusano escanea por el puerto TCP/135, en busca de máquinas
| > > | vulnerables al desbordamiento de búfer en el protocolo RPC
| > (vulnerabilidad
| > > | RPC/DCOM explicado en el boletín MS03-026 de Microsoft). Las
| direcciones
| > > IP
| > > | para la búsqueda, son generadas automáticamente.
| > > |
| > > | Si encuentra máquinas vulnerables, ejecuta el exploit que le
| > permite
| > > | abrir un shell remoto (un SHELL es un intérprete de comandos que
| > > interpreta
| > > | y activa los comandos o utilidades introducidos por el usuario).
Desde
| > el
| > > | shell, construye y ejecuta un archivo llamado DOWN.COM, detectado
como
| > el
| > > | troyano Troj/Ntrtkit.A (BKDR_NTRTKIT.A, Troj/RtKit-11, según cada
| > > fabricante
| > > | de antivirus).
| > > |
| > > | Finalmente, guarda la dirección IP de la víctima en el archivo
| > > | SVCHOST.INI de la máquina atacante:
| > > |
| > > | c:\windows\system32\svchost.ini
| > > |
| > > | El gusano utiliza su propio cliente IRC incorporado como parte
| de
| > su
| > > | código, para conectarse a alguno de los siguientes servidores de
chat,
| > > para
| > > | realizar acciones de caballo de Troya:
| > > |
| > > | · irc.aol.com
| > > | · irc.banetele.no
| > > | · irc.blessed.net
| > > | · irc.csbnet.se
| > > | · irc.daxnet.no
| > > | · irc.desync.com
| > > | · irc.homelien.no
| > > | · irc.inet.tele.dk
| > > | · irc.inter.net.il
| > > | · irc.ipv6.homelien.n
| > > | · irc.ircsoulz.net
| > > | · irc.isdnet.fr
| > > | · irc.isprime.com
| > > | · irc.limelight.us
| > > | · irc.mindspring.com
| > > | · irc.mpls.ca
| > > | · irc.nac.net
| > > | · irc.prison.net
| > > | · irc.red-latina.org
| > > | · irc.secsup.org
| > > | · irc.servercentral.n
| > > | · irc.Ultra-IRC.net
| > > |
| > > | Una vez conectado a un canal determinado, el gusano funciona
| como
| > un
| > > | IRC Bot (copia de un usuario en un canal de IRC, generado casi
siempre
| > por
| > > | un programa, y preparado para responder ciertos comandos que se les
| > envía
| > > en
| > > | forma remota). De ese modo es capaz de ejecutar cualquiera de los
| > > siguientes
| > > | comandos:
| > > |
| > > | · Abandonar el canal del servidor de IRC
| > > | · Intentar descargar y ejecutar el parche de Microsoft que
| corrige
| > > la
| > > | falla del desbordamiento de búfer en el protocolo RPC (MS03-026).
| > > | · Descargar archivos de sitios especificados
| > > | · Descargar y actualizar copias de si mismo desde un sitio
Web.
| > > | · Ejecutar archivos
| > > | · Enviar información del usuario de la computadora infectada a
| un
| > > | usuario remoto
| > > | · Listar todos los procesos activos
| > > | · Terminar un proceso
| > > | · Unirse a otro canal en el servidor IRC
| > > | · El gusano también emite la orden para descargar los archivos
| > > | SVCHOST32.EXE, SERVICE.EXE y NTROOTKIT.EXE, desde la computadora
| > > "atacante",
| > > | en lugar del sitio Web mencionado antes.
| > > |
| > > | La carpeta "System32" se localiza en C:\Windows (Windows XP) o
| en
| > > | C:\WinNT (Windows NT y 2000), por defecto.
| > > |
| > > | El gusano posee la capacidad de descargar una copia
actualizada
| de
| > > si
| > > | mismo desde un sitio Web.
| > > |
| > > | El siguiente texto está presente en su código:
| > > |
| > > | BenderBOT
| > > |
| > > | Aún cuando un antivirus detecte y elimine este gusano,
mientras
| no
| > > se
| > > | haya instalado el parche mencionado en dicho boletín, la computadora
| > > seguirá
| > > | vulnerable al ataque de desbordamiento de búfer desde otras máquinas
| > > | infectadas. Cuando estos paquetes son recibidos por cualquier
sistema
| > sin
| > > el
| > > | parche, provocarán la caída del servicio RPC, sin necesidad de que
el
| > > gusano
| > > | esté presente o no en la máquina.
| > > |
| > > | Aplicando el parche, se previene la falla en este servicio. El
| > > sistema
| > > | debe ser reiniciado luego de su instalación.
| > > |
| > > |
| > > | Eliminacion Automatica
| > > | Descargar y ejecutar la siguiente aplicacion:
| > > | http://www.zonavirus.com/programas/...iLovsA.exe
| > > |
| > > | Datos sobre el matavirus:
| > > | En el caso que se encuentre el SVCHOST.EXE de 15 kb que es el
| que
| > ha
| > > | sustituido al original y que se trata de un backdoor de IRC, se
| detienen
| > > los
| > > | procesos del virus, borramos las claves que llamen al .CMD, y
borramos
| > los
| > > | SVCHOST32.EXE que existieran y si el tamaño del actual SVCHOST.EXE
es
| > > mayor
| > > | de 14 kB (el del XP mide 12.800 y el del 2000 mide unos 7 kB, lo
| > borramos
| > > e
| > > | indicamos que tras reiniciar, si no existiera, debe restaurarse con
el
| > > | original o de otra máquina limpia con igual sistema operativo.
| > > |
| > > | Añadir que despues de probar con distintas maquinas el
matavirus
| > las
| > > | pruebas incican que con el 2000 y XP, tras borrar el SVCHOST malo,
| > arranca
| > > | mas lento pero el Sistema Operativo restaura una copia de seguridad
| > > propia.
| > > |
| > > |
| > > | "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió en
el
| > > | mensaje news:
| > > | > ;-) ya no nada entonces
| > > | >
| > > | > --
| > > | > Saludos
| > > | > Caterpillar 1.0
| > > | >
| > > | >
| > > | > "ugtro" escribió en el mensaje
| > > | > news:
| > > | > > "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió
| en
| > el
| > > | > > mensaje news:
| > > | > >> el SVCHOST es un proceso nativo de WindowsXPlo del virus
voy
| a
| > > | > >> investigar.
| > > | > >
| > > | > > Para buscar mejor
| > > | > > ;-)
| > > | > >
| > > | > > Bichos que usan el winstart32, tanto creando el archivo como
| > usandolo
| > > | > > en su adjunto...
| > > | > >
| > > | > > Purol
| > > | > > Winur... Banuris
| > > | > > Mickl
| > > | > >
| > > | > > saludos
| > > | >
| > > | >
| > > |
| > > |
| > >
| > >
| >
| >
|
|