Nuevo virus en XP

no hombre no te preocupes, solo queria resaltar que service.exe es

a services.exe (que si es de Windows) :)

Un Saludo

Raul Serrano
MS MVP Windows Shell/User



"cousi" escribió en el mensaje
news:
| Ademas yo soy novato en esto, y esto aprendiendo, de ahi pido disculpas

| meto la pata en algo.
|
| Hasta luego.
|
| Jose Mª Cousiño
| "cousi" escribió en el mensaje
| news:
| > Hola Raul
| >
| > Yo no digo que sea de windows, lo unico que puse fue lo que decia la
| página
| > web de donde lo saque para mi vecino, es esta la página web en la cual
| > puedes ver que es exactamente lo que puse. Yo no se si es de windows o
no
| > ese archivo, lo unico que se es que en mi maquina win xp porf no esta,
por
| > lo tanto entiendo que no debe de ser.
| >
| > La pagina web es la siguiente
| >
| > http://www.zonavirus.com/Detalle_No...?noticiaD7
| > Un saludo.
| >
| > Jose Mª Cousiño
| > "Raul Serrano [MS MVP]" escribió en el mensaje
| > news:%23oMio$
| > > | SERVICE.EXE es una utilidad legítima.
| > >
| > > Ese archivo desde luego no es de Windows, y cuando dices legitimo no
se
| de
| > > quien...
| > >
| > > --
| > > Un Saludo
| > >
| > > Raul Serrano
| > > MS MVP Windows Shell/User
| > >
| > >
| > >
| > > "cousi" escribió en el mensaje
| > > news:
| > > | Hola
| > > |
| > > | Ayer averigue lo que es. Mira esto que ahora mismo no encuentro la
| > pagina
| > > | donde esta (de todas formas para ver la página mira en un hilo de
ayer
| > que
| > > | decia que es el archivo service.exe) que te informara sobre ese
Virus.
| > > |
| > > |
| > > | W32/Raleka.B. Utiliza la vulnerabilidad que utiliza el
blaster,
| > > | algunas casas lo llaman variante E del blaster
| > > |
| > > | Este gusano se vale de la vulnerabilidad RPC/DCOM que

| hizo
| > > | posible la propagación de gusanos como el Lovsan (Blaster).
| > > |
| > > | Cuando el gusano se ejecuta, intenta descargar los

| > > archivos
| > > | desde un servidor de Internet:
| > > |
| > > | · svchost32.exe
| > > | · service.exe
| > > | · ntrootkit.exe
| > > |
| > > | SERVICE.EXE es una utilidad legítima. SVCHOST32.EXE es una
copia
| > del
| > > | gusano propiamente dicho, y NTROOTKIT.EXE es una utilidad para
| ejecutar
| > en
| > > | Windows XP. Algunos antivirus identifican este último archivo como
| > > NTRootkit
| > > | o una variante. Más información:
| > > |
| > > | NTRootkit. Peligrosa herramienta de "ocultamiento"
| > > | http://www.vsantivirus.com/ntrootkit.htm
| > > |
| > > | Los archivos son copiados en la siguiente ubicación:
| > > |
| > > | · c:\windows\system32\svchost32.exe
| > > | · c:\windows\system32\service.exe
| > > | · c:\windows\system32trootkit.exe
| > > |
| > > | El gusano también copia el archivo
| > C:\WINDOWS\SYSTEM32\SVCHOST32.EXE
| > > | en C:\WINDOWS\SYSTEM\SVCHOST.EXE.
| > > |
| > > | Los archivos del gusano, luego serán descargados desde la
| > > computadora
| > > | "atacante", en lugar del sitio Web mencionado antes.
| > > |
| > > | La carpeta "System32" se localiza en C:\Windows (Windows XP)

| en
| > > | C:\WinNT (Windows NT y 2000), por defecto.
| > > |
| > > | El gusano se instala como un servicio en la máquina

| > > | utilizando la utilidad SERVICE.EXE mencionada antes. El nombre del
| > > servicio
| > > | es "Remote_Procedure_Call". De este modo, se ejecutará
automáticamente
| > > cada
| > > | vez que Windows se reinicie.
| > > |
| > > | El gusano escanea por el puerto TCP/135, en busca de

| > > | vulnerables al desbordamiento de búfer en el protocolo RPC
| > (vulnerabilidad
| > > | RPC/DCOM explicado en el boletín MS03-026 de Microsoft). Las
| direcciones
| > > IP
| > > | para la búsqueda, son generadas automáticamente.
| > > |
| > > | Si encuentra máquinas vulnerables, ejecuta el exploit que le
| > permite
| > > | abrir un shell remoto (un SHELL es un intérprete de comandos que
| > > interpreta
| > > | y activa los comandos o utilidades introducidos por el usuario).
Desde
| > el
| > > | shell, construye y ejecuta un archivo llamado DOWN.COM, detectado
como
| > el
| > > | troyano Troj/Ntrtkit.A (BKDR_NTRTKIT.A, Troj/RtKit-11, según cada
| > > fabricante
| > > | de antivirus).
| > > |
| > > | Finalmente, guarda la dirección IP de la víctima en el

| > > | SVCHOST.INI de la máquina atacante:
| > > |
| > > | c:\windows\system32\svchost.ini
| > > |
| > > | El gusano utiliza su propio cliente IRC incorporado como

| de
| > su
| > > | código, para conectarse a alguno de los siguientes servidores de
chat,
| > > para
| > > | realizar acciones de caballo de Troya:
| > > |
| > > | · irc.aol.com
| > > | · irc.banetele.no
| > > | · irc.blessed.net
| > > | · irc.csbnet.se
| > > | · irc.daxnet.no
| > > | · irc.desync.com
| > > | · irc.homelien.no
| > > | · irc.inet.tele.dk
| > > | · irc.inter.net.il
| > > | · irc.ipv6.homelien.n
| > > | · irc.ircsoulz.net
| > > | · irc.isdnet.fr
| > > | · irc.isprime.com
| > > | · irc.limelight.us
| > > | · irc.mindspring.com
| > > | · irc.mpls.ca
| > > | · irc.nac.net
| > > | · irc.prison.net
| > > | · irc.red-latina.org
| > > | · irc.secsup.org
| > > | · irc.servercentral.n
| > > | · irc.Ultra-IRC.net
| > > |
| > > | Una vez conectado a un canal determinado, el gusano funciona
| como
| > un
| > > | IRC Bot (copia de un usuario en un canal de IRC, generado casi
siempre
| > por
| > > | un programa, y preparado para responder ciertos comandos que se

| > envía
| > > en
| > > | forma remota). De ese modo es capaz de ejecutar cualquiera de los
| > > siguientes
| > > | comandos:
| > > |
| > > | · Abandonar el canal del servidor de IRC
| > > | · Intentar descargar y ejecutar el parche de Microsoft que
| corrige
| > > la
| > > | falla del desbordamiento de búfer en el protocolo RPC (MS03-026).
| > > | · Descargar archivos de sitios especificados
| > > | · Descargar y actualizar copias de si mismo desde un sitio
Web.
| > > | · Ejecutar archivos
| > > | · Enviar información del usuario de la computadora infectada

| un
| > > | usuario remoto
| > > | · Listar todos los procesos activos
| > > | · Terminar un proceso
| > > | · Unirse a otro canal en el servidor IRC
| > > | · El gusano también emite la orden para descargar los

| > > | SVCHOST32.EXE, SERVICE.EXE y NTROOTKIT.EXE, desde la computadora
| > > "atacante",
| > > | en lugar del sitio Web mencionado antes.
| > > |
| > > | La carpeta "System32" se localiza en C:\Windows (Windows XP)

| en
| > > | C:\WinNT (Windows NT y 2000), por defecto.
| > > |
| > > | El gusano posee la capacidad de descargar una copia
actualizada
| de
| > > si
| > > | mismo desde un sitio Web.
| > > |
| > > | El siguiente texto está presente en su código:
| > > |
| > > | BenderBOT
| > > |
| > > | Aún cuando un antivirus detecte y elimine este gusano,
mientras
| no
| > > se
| > > | haya instalado el parche mencionado en dicho boletín, la

| > > seguirá
| > > | vulnerable al ataque de desbordamiento de búfer desde otras

| > > | infectadas. Cuando estos paquetes son recibidos por cualquier
sistema
| > sin
| > > el
| > > | parche, provocarán la caída del servicio RPC, sin necesidad de que
el
| > > gusano
| > > | esté presente o no en la máquina.
| > > |
| > > | Aplicando el parche, se previene la falla en este servicio.

| > > sistema
| > > | debe ser reiniciado luego de su instalación.
| > > |
| > > |
| > > | Eliminacion Automatica
| > > | Descargar y ejecutar la siguiente aplicacion:
| > > | http://www.zonavirus.com/programas/...iLovsA.exe
| > > |
| > > | Datos sobre el matavirus:
| > > | En el caso que se encuentre el SVCHOST.EXE de 15 kb que es

| que
| > ha
| > > | sustituido al original y que se trata de un backdoor de IRC, se
| detienen
| > > los
| > > | procesos del virus, borramos las claves que llamen al .CMD, y
borramos
| > los
| > > | SVCHOST32.EXE que existieran y si el tamaño del actual SVCHOST.EXE
es
| > > mayor
| > > | de 14 kB (el del XP mide 12.800 y el del 2000 mide unos 7 kB, lo
| > borramos
| > > e
| > > | indicamos que tras reiniciar, si no existiera, debe restaurarse

el
| > > | original o de otra máquina limpia con igual sistema operativo.
| > > |
| > > | Añadir que despues de probar con distintas maquinas el
matavirus
| > las
| > > | pruebas incican que con el 2000 y XP, tras borrar el SVCHOST malo,
| > arranca
| > > | mas lento pero el Sistema Operativo restaura una copia de

| > > propia.
| > > |
| > > |
| > > | "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA> escribió

el
| > > | mensaje news:
| > > | > ;-) ya no nada entonces
| > > | >
| > > | > --
| > > | > Saludos
| > > | > Caterpillar 1.0
| > > | >
| > > | >
| > > | > "ugtro" escribió en el mensaje
| > > | > news:
| > > | > > "Caterpillar 1.0 hotmail.com>" <caterpillar_v10<ARROBA>

| en
| > el
| > > | > > mensaje news:
| > > | > >> el SVCHOST es un proceso nativo de WindowsXPlo del virus
voy
| a
| > > | > >> investigar.
| > > | > >
| > > | > > Para buscar mejor
| > > | > > ;-)
| > > | > >
| > > | > > Bichos que usan el winstart32, tanto creando el archivo como
| > usandolo
| > > | > > en su adjunto...
| > > | > >
| > > | > > Purol
| > > | > > Winur... Banuris
| > > | > > Mickl
| > > | > >
| > > | > > saludos
| > > | >
| > > | >
| > > |
| > > |
| > >
| > >
| >
| >
|
|