Nuevo virus W32.Downadup pone en peligro las PCs

Foto: techblog.dallasnews.com

Miles de computadores han sido afectados por un nuevo virus denominado W32.Downadup, el cual se aloja en tu ordenador y realiza coneciones a través de internet a un servidor anónimo. Este virus (gusano), afecta las PCs con sistemas operativos Windows (Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP).

Las especificaciones técnicas de este virus, provenientes de Symantec (los creadores de Norton Antivirus) son las siguientes:

Una vez que se ejecuta el gusano, se copia así mismo como los siguientes archivos: %System%\[NOMBRE DE ARCHIVO ALEATORIO].dll

Posteriormente, el gusano elimina cualquier punto de la Restauración de sistema creado por el usuario.

Crea el siguientee servicio:
Nombre: netsvcs
ImagePath: %SystemRoot%\\system32\\svchost.exe -k netsvcs

Después crea la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\”ServiceDll” = “[PathToWorm]”

El gusano se conecta a las siguientes direcciones para obtener la dirección IP del equipo comprometido.

* http://www.getmyip.org
* http://getmyip.co.uk
* http://checkip.dyndns.org

Posteriormente el gusano descarga un archivo de la siguiente dirección y lo ejecuta: http://trafficconverter.biz/4vir/antispyware/loadadv.exe

Entonces el gusano crea el servidor http en el equipo comprometido en un puerto aleatorio, por ejemplo:

http://[DIRECCION IP ALEATORIA DEL EQUIPO]:[PUERTO ALEATORIO]

El gusano enviará esta dirección URL como parte de su ejecución a equipos remotos.

Una vez que explote la vulnerabilidad mencionada, el equipo remoto se conectará a dicha dirección URL y descargará el gusano. De esta forma, cada equipo comprometido puede reproducir la infección, en lugar de descargar el gusano de una ubicación predefinida.

En seguida el gusano se conecta a un router UPnP y abre el puerto http. Posteriormente intenta localizar el dispositivo registrado de red como getway de Internet dentro de la red y abre el puerto antes mencionado para permitir accesos al equipo comprometido desde redes externas.

El gusano trata de descargar un archivo desde la siguiente dirección:
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

El gusano se propaga explotando la vulnerabilidad de Microsoft Windows Server Service RPC Handling Remote Code Execution (BID 31874).

En seguida, el gusano intenta contactar los siguientes sitios para obtner la fecha actual.

* http://www.w3.org
* http://www.ask.com
* http://www.msn.com
* http://www.yahoo.com
* http://www.google.com
* http://www.baidu.com

Utiliza las fechas para generar una lista de nombres de dominio. El gusano contactará estos dominios para intentar descargar archivos adicionalees en el equipo comprometido.

En la página de Symantec, ofrecen herramientas y formas para la eliminación de este virus. Si necesitas removerlo, haz click aquí.

Para eliminarlo de otra forma más automatizada, descarga la herramienta UnHookExec.inf (haz click derecho sobre el nombre y luego Salvar Como o Save As) y sigue los siguientes pasos:

1. Descargue el archivo UnHookExec.inf y guárdelo en su escritorio. (Nota: La herramienta tiene una extensión de archivo .inf.)
2. Busque el archivo que se descargó, ya sea en el escritorio de Windows o en el disco flexible.

3. Haga clic con el botón derecho sobre el archivo UnHookExec.inf y haga clic en instalar. (Este es un archivo pequeño. No aparecerá ninguna notificación o cuadro de diálogo al momento de ejecutarlo.

4. Sigua cualquier otra instrucción correspondiente a la amenaza que está eliminando.

Actualización 06/04/2009:

Este virus es el conocido como Conficker a la fecha. A sus inicios se conoció con el nombre al que hacemos alusión en el título.

O. Garcia

En el 2007 me surge la idea de empezar a informar sobre noticias de tecnología desde nuestro país para el mundo y es así como surge TecnologiaRD. Al momento somos uno de los blogs de mayor permanencia en República Dominicana al estar 10 años de manera constante en la red mundial.

Deja un comentario en: “Nuevo virus W32.Downadup pone en peligro las PCs

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *