Rbot.GXV



Este gusano bot esta concebido para ser prácticamente imperceptible por el usuario afectado, ya que de por si no crea ninguna directiva de bloqueo o altera el correcto funcionamiento del equipo, su cometido es únicamente el de conectar el ordenador a una red bot (botnet) conectándose a distintos servidores IRC a través de los cuales recibe sus ordenes y rutinas de ejecución a la vez que crea una réplica de si mismo con un nombre aleatorio en las carpetas compartidas del equipo afectado, a continuación su descripción técnica:

Peligrosidad: 2 - Baja

Difusión: Baja Fecha de Alta:13-05-2009
Última Actualización:13-05-2009

Daño: Bajo
[Explicación de los criterios]

Dispersibilidad: Alto

Nombre completo: [email protected]

Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft.
Alias:W32/Rbot-GXV (Sophos)

MÉTODO DE LIMPIEZA MANUAL

1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.
2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

Elimine los siguientes ficheros:
* %System%\winoper.exe

Nota:%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Elimine las siguientes entradas del registro:

Código:
Clave: HKCU\Software\Microsoft\OLE 
      Valor: Windows Manager System = winoper.exe

      Clave: HKLM\SOFTWARE\Microsoft\Ole 
      Valor: EnableRemoteConnect = N

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
      Valor: Windows Manager System = winoper.exe

      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
      Valor: Windows Manager System = winoper.exe

      Clave: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
      \Protocols\PCT1.0\Server
      Valor: Enabled = 0

      Clave: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
      Valor: AllowUnqualifiedQuery = 0

      Clave: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
      Valor: AllowUserRawAccess = 0

      Clave: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 
      Valor: AutoShareServer = 0

      Clave: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 
      Valor: AutoShareWks = 0

      Clave: HKLM\SYSTEM\CurrentControlSet\Services\wscsvc 
      Valor: Start = 4

      Clave: HKLM\SOFTWARE\Microsoft\Ole 
      Valor: EnableDCOM = N

      Clave: HKLM\SYSTEM\CurrentControlSet\Control\Lsa 
      Valor: restrictanonymous = 1

      Clave: HHKLM\SYSTEM\CurrentControlSet\Services\SharedAccess 
      Valor: Start = 4

      Clave: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
      Valor: EnableICMPRedirect = 0

      Clave: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
      Valor: EnableSecurityFilters = 1

      Clave: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv 
      Valor: Start = 4
5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

INFECCIÓN Y EFECTOS

Cuando Rbot.GXV se ejecuta, se copia a sí mismo en %System%\winoper.exe

Nota:%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Crea las siguientes entradas de registro:

Código:
Clave: HKCU\Software\Microsoft\OLE 
Valor: Windows Manager System = winoper.exe

Clave: HKLM\SOFTWARE\Microsoft\Ole 
Valor: EnableRemoteConnect = N

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
Valor: Windows Manager System = winoper.exe

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
Valor: Windows Manager System = winoper.exe

Clave: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders
\SCHANNEL\Protocols\PCT1.0\Server 
Valor: Enabled = 0

Clave: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
Valor: AllowUnqualifiedQuery = 0

Clave: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
Valor: AllowUserRawAccess = 0

Clave: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 
Valor: AutoShareServer = 0

Clave: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 
Valor: AutoShareWks = 0

Clave: HKLM\SYSTEM\CurrentControlSet\Services\wscsvc 
Valor: Start = 4

Clave: HKLM\SOFTWARE\Microsoft\Ole 
Valor: EnableDCOM = N

Clave: HKLM\SYSTEM\CurrentControlSet\Control\Lsa 
Valor: restrictanonymous = 1

Clave: HHKLM\SYSTEM\CurrentControlSet\Services\SharedAccess 
Valor: Start = 4

Clave: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
Valor: EnableICMPRedirect = 0

Clave: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
Valor: EnableSecurityFilters = 1

Clave: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv 
Valor: Start = 4
Se propaga a través de archivos ejecutables descargados de la red bajo forma de falsas aplicaciones.

Fuente de los detalles técnicos: Alerta-Antivirus.es: Detalles del virus Rbot.GXV