• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    ALERTA: AutoRun.FJO (gusano autorun)

    AutoRun.FJO Gusano que se propaga a todos los dispositivos extraíbles del sistema comprometido. Proporciona una puerta trasera a través del puerto 24400 que permite la ejecución de comandos desde un sistema remoto. Difusión: Baja Fecha ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.290

      Malware ALERTA: AutoRun.FJO (gusano autorun)

      AutoRun.FJO


      Gusano que se propaga a todos los dispositivos extraíbles del sistema comprometido.
      Proporciona una puerta trasera a través del puerto 24400 que permite la ejecución de comandos desde un sistema remoto.

      Difusión: Baja Fecha de Alta:13-05-2009
      Última Actualización:13-05-2009

      Daño: Alto

      Dispersibilidad: Medio

      Nombre completo: [email protected]

      Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera

      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
      Mecanismo principal de difusión: [DE] - Se propaga a dispositivos extraíbles insertados o conectados en/al equipo afectado.
      Alias:Worm.AutoRun.fjo (Quick Heal)

      Método de Infección/Efectos

      AutoRun.FJO copia los siguientes ficheros en el sistema comprometido cuando se ejecuta:

      * %System%\bndmss.exe
      * %System%\ucvyzfh.dll
      * %System%\reader_s.exe
      * %System%\mymvyyr.dll
      * %System%\ccplmyew.dat
      * %System%\cuijaphx.dat
      * %System%\qfmxxuzv.dat
      * %System%\bnhcedgr.dll
      * %System%\nqxezkvk.dll
      * %System%\drivers\{8 letras aleatorias}.sys
      * %Userprofile%\reader_s.exe
      * %Systemdrive%\-{número aleatorio}
      * %Systemdrive%\vfmf.exe
      * %Systemdrive%\wjcl.exe
      * %Systemdrive%\{nombre aleatorio}.exe
      * %Systemdrive%\y{nombre aleatorio}.exe
      * %Systemdrive%\RECYCLER\S-1-5-21-6534946955-0806205050
      * -900513086-5722\Desktop.ini
      * %Systemdrive%\RECYCLER\S-1-5-21-6534946955-0806205050
      * -900513086-5722\service.exe
      * %Temp%\bn{número aleatorio}4.tmp
      * %Temp%\bn{número aleatorio}5.tmp

      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
      %Systemdrive% es una variable que hace referencia a la unidad en la que Windows está instalado.
      Por defecto es C:.
      %Userprofile% es una varible que representa la carpeta de trabajo del usuario autenticado en el sistema Windows.
      Por defecto es C:\Documents and Settings\%user name%\ (Windows 2000, XP, y Server 2003).
      %Temp% es una variable que representa la carpeta temporal de Windows.
      Por defecto es C:\Windows\temp (Windows 95/98/Me/XP) o C:\Winnt\temp (Windows NT/2000).

      El fichero "Desktop.ini" contiene la siguiente entrada relacionada con el icono que aparece asociado con los dispositivos extraíbles:

      Código:
      [.ShellClassInfo]  
      CLSID={645FF040-5081-101B-9F08-00AA002F954E}
      El ejecutable "bndmss.exe" permanece a la escucha por el siguiente puerto para permitir la ejecución de comandos desde un servidor remoto:

      * 24400

      AutoRun.FJO crea además las siguientes entradas en el registro de Windows del sistema comprometido:

      Código:
      Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run  
      Valor: reader_s = "%Userprofile%\reader_s.exe"
      
      Clave: HKLM\System\CurrentControlSet\Services\{8 random letter}  
      Valor: ImagePath = "%System%\drivers\{8 letras aleatorias}.sys"
      
      Clave: HKLM\System\CurrentControlSet\Services\BNDMSS  
      Valor: ImagePath = "%System%\bndmss.exe"  
      Valor: DisplayName = "Windows Data Management System Service"
      
      Clave: HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
      StandardProfile\AuthorizedApplications\List  
      Valor: %System%\bndmss.exe = "%System%\bndmss.exe:*:Enabled:BNDMSS"
      
      Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run  
      Valor: reader_s = "%Userprofile%\reader_s.exe"  
      Valor: {nombre aleatorio} = "%Drive%\RECYCLER\
      S-1-5-21-6534946955-0806205050-900513086-5722\service.exe"
      Nota: %Drive% es una variable que hace referencia a la unidad física, mapeable o extraíble en la que se crea el fichero (H:/ , S:/, etc).

      Crea el siguiente mutex para garantizar que sólo se ejecuta una instancia del código malicioso:

      * bdmss_um_32_

      Descarga los siguientes ficheros desde Internet:

      * http://[XXXX].[XXXX].1.206/skp66.exe
      * http://[XXXX].[XXXX].253.241/loaderadv563.exe

      Realiza peticiones a los siguientes servidores remotos:

      * bs.serving-sys.com
      * view.atdmt.com

      Método de Propagación

      AutoRun.FJO se propaga a los dispositivos extraíbles del sistema comprometido copiando los siguiente ficheros en su directorio raíz:

      * Autorun.inf
      * RECYCLER\Desktop.ini
      * RECYCLER\Iasass.exe

      El fichero "Autorun.inf" garantiza la ejecución del código malicioso cada vez que se accede al dispositivo extraíble y su contenido es el siguiente:

      Código:
      [autorun]  
      open=RECYCLER\Iasass.exe  
      icon=%XXXXXX%\system32\SHELL32.dll,4  
      action=Open folder to view files  
      shell\open=Open  
      shell\open\XXXXX=RECYCLER\Iasass.exe  
      shell\open\default=1
      (editado por seguridad)

      SOLUCIÓN MANUAL

      #

      Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.
      #

      Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

      Elimine los siguientes ficheros:

      * %System%\bndmss.exe
      * %System%\ucvyzfh.dll
      * %System%\reader_s.exe
      * %System%\mymvyyr.dll
      * %System%\ccplmyew.dat
      * %System%\cuijaphx.dat
      * %System%\qfmxxuzv.dat
      * %System%\bnhcedgr.dll
      * %System%\nqxezkvk.dll
      * %System%\drivers\{8 letras aleatorias}.sys
      * %Userprofile%\reader_s.exe
      * %Systemdrive%\-{número aleatorio}
      * %Systemdrive%\vfmf.exe
      * %Systemdrive%\wjcl.exe
      * %Systemdrive%\{nombre aleatorio}.exe
      * %Systemdrive%\y{nombre aleatorio}.exe
      * %Systemdrive%\RECYCLER\S-1-5-21-6534946955-0806205050
      * -900513086-5722\Desktop.ini
      * %Systemdrive%\RECYCLER\S-1-5-21-6534946955-0806205050
      * -900513086-5722\service.exe
      * %Temp%\bn{número aleatorio}4.tmp
      * %Temp%\bn{número aleatorio}5.tmp
      * %Drive%\RECYCLER\Desktop.ini
      * %Drive%\RECYCLER\Iasass.exe

      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
      %Systemdrive% es una variable que hace referencia a la unidad en la que Windows está instalado.
      Por defecto es C:.
      %Userprofile% es una varible que representa la carpeta de trabajo del usuario autenticado en el sistema Windows.
      Por defecto es C:\Documents and Settings\%user name%\ (Windows 2000, XP, y Server 2003).
      %Temp% es una variable que representa la carpeta temporal de Windows.
      Por defecto es C:\Windows\temp (Windows 95/98/Me/XP) o C:\Winnt\temp (Windows NT/2000).
      %Drive% es una variable que hace referencia a la unidad física, mapeable o extraíble en la que se crea el fichero (H:/ , S:/, etc).

      Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
      #

      Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
      En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.
      #

      A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

      Elimine las siguientes claves del registro y todo su contenido:

      Código:
      Clave: HKLM\System\CurrentControlSet\Services\BNDMSS
      Elimine las siguientes entradas del registro:

      Código:
      Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run  
      Valor: reader_s = "%Userprofile%\reader_s.exe"
      
      Clave: HKLM\System\CurrentControlSet\Services\{8 random letter}  
      Valor: ImagePath = "%System%\drivers\{8 letras aleatorias}.sys"
      
      Clave: HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
      FirewallPolicy\StandardProfile\AuthorizedApplications\List  
      Valor: %System%\bndmss.exe = "%System%\bndmss.exe:*:Enabled:BNDMSS"
      
      Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run  
      Valor: reader_s = "%Userprofile%\reader_s.exe"  
      Valor: {nombre aleatorio} = "%Drive%\RECYCLER\
      S-1-5-21-6534946955-0806205050-900513086-5722\service.exe"


      Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.


      Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

      Descubridor: Quick Heal

      Fuente: Alerta-Antivirus.es: Detalles del virus AutoRun.FJO

      Suerte a todos
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de willtor
      Registrado
      jun 2009
      Ubicación
      Madrid
      Mensajes
      3

      Sonrisa Re: ALERTA: AutoRun.FJO (gusano autorun)

      Gracias!

      Salu2!