W32/Vesser.worm.a


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Gusano que propaga en equipos infectados por virus w32/Mydoom y a través del programa peer to peer Soulseek

Nombre de virus: W32/Vesser.worm.a
Alias conocidos: W32/Deadhat.worm.a
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Propagación: Por backdoor creado por w32/MyDoom y peer-to-peer
Activación: Por ejecución de fichero sms.exe
Detección: desde DATS 4323
Motor necesario: desde 4.2.60
Infección actual: Inicial (Inicial, Media, Elevada)

Este gusano propaga a través de la aplicación Soulseek (programa peer to peer de compartición de ficheros), y también a través del componente de acceso remoto creado por los virus w32/Mydoom.a@MM y w32/Mydoom.b@MM. En este segundo caso busca equipos infectados por dichos virus y les desinstala Mydoom para instalarse en su lugar.

W32/Vesser.worm.a, escucha en el puerto TCP 2766 y contiene instrucciones para conectar a un servidor IRC, logarse a un canal específico y quedar a la espera de más instrucciones.

La ejecución del gusano muestra un falso mensaje de error:

El gusano se copia en el directorio WINDOWS SYSTEM como SMS.EXE y crea una clave run de registro para cargarse al inicio del sistema:

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "KernelFaultChk" = C:\WINNT\System32\sms.exe

El gusano obtiene la ruta de instalación de Soulseek que encuentra en el registro del sistema, lee los parámetros del fichero shared.cfg, y se copia al directorio compartido utilizando los siguientes nombres de fichero (se crea un fichero cada vez que se ejecuta el virus):

· WinXPKeyGen.exe

· Windows2003Keygen.exe

· mIRC.v6.12.Keygen.exe

· Norton.All.Products.KeyMkr.exe

· F-Secure.Antivirus.Keymkr.exe

· FlashFXP.v2.1.FINAL.Crack.exe

· SecureCRTPatch.exe

· TweakXPProKeyGenerator.exe

· FRUITYLOOPS.SPYWIRE.FIX.EXE

· ALL.SERIALS.COLLECTION.2003-2004.EXE

· WinRescue.XP.v1.08.14.exe

· GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe

· BlindWrite.Suite.v4.5.2.Serial.Generator.exe

· Serv-U.allversions.keymaker.exe

· WinZip.exe

· WinRar.exe

· WinAmp5.Crack.exe

Síntomas

El gusano puede intentar terminar los siguientes procesos de la memoria, alguno de los cuales está vinculado al virus Mydoom:

· _avp

· kfp4gui

· kfp4ss

· zonealarm

· Azonealarm

· avwupd32

· avwin95

· avsched32

· avp

· avnt

· avkserv

· avgw

· avgctrl

· avgcc32

· ave32

· avconsol

· apvxdwin

· ackwin32

· blackice

· blackd

· dv95

· espwatch

· esafe

· efinet32

· ecengine

· f-stopw

· frw

· fp-win

· f-prot95

· f-prot

· fprot

· f-agnt95

· gibe

· iomon98

· iface

· icsupp

· icssuppnt

· icmoon

· icmon

· icloadnt

· icload95

· ibmavsp

· ibmasn

· iamserv

· iamapp

· kpfw32

· nvc95

· nupgrade

· nupdate

· normist

· nmain

· nisum

· navw

· navsched

· navnt

· navlu32

· navapw32

· zapro

· document

· readme

· doc

· text

· file

· data

· test

· message

· body

· taskmon

· xsharez_scanner

· BlackIce_Firewall_Enterpriseactivation_crack

· zapSetup_95_693

· MS59-56_hotfix

· winamp0

· NessusScan_pro

· attackXP-6.71

Detección y eliminación
El gusano se controla desde los DAT 4323 arriba indicados. Si el gusano se encuentra en memoria, debe arrancar el equipo en 'modo seguro' (sistemas WindowsNT/2000/XP) o 'modo a prueba de fallos' (sistemas WIndows9x/ME) para seguidamente pasar el VirusScan y poder eliminarlo.

Una vez limpio puede ejecutarse el UNDO55 o superior, para eliminar la llave del registro.

SATINFO, VIRUSCAN SPAIN SERVICE 12 de Febrero de 2004