Hoy a la mañana, estaba hablando por MSN con una querida amiga de Argentina. Entre risas y otros, me envió dos canciones que quería compartir conmigo. Pocos segundos después, también me envió un archivo .zip (IMG-0012.zip), que pesaba 25kb. Sorprendido, le pregunté que era el archivo, y no recibí respuesta. Pregunté otra vez, y tampoco. Por si acaso, decidí aceptarlo, y pregunté una vez más; acto seguido que termina de transferirse el archivo, mi contacto se desconectó, lo cual me pareció mucho más sospechoso aún.
Solo para confirmar mis sospechas, decidí analizar el archivo para ver que encontraba. Al instante, mi antivirus (al ritmo de un estruendoso chillido de alerta de virus) me entregaba el siguiente nombre:
Solo para confirmar mis sospechas, decidí analizar el archivo para ver que encontraba. Al instante, mi antivirus (al ritmo de un estruendoso chillido de alerta de virus) me entregaba el siguiente nombre:
Trojan program:
Backdoor.Win32.SdBot.bxr
"Hmm" pensé yo, e inmediatamente me puse a buscar información al respecto. Al mismo tiempo, mi contacto se conectaba y me comentaba que su PC le andaba pésimo, lenta, no le abría MSN y estaba con muchos problemas de conexión. Dirigí entonces mi rumbo a San Google, quien me llevó a BitDefender (click en el link para ver la información; está en inglés).
Una breve traducción, para quienes no saben inglés:
Síntomas
Tu computador puede que funcione más lento. Aumenta la actividad de internet (haciéndola más lenta, a la vez). Además, una serie de archivos con nombres al azar (que pesan aproximadamente 47kb) aparecerán en practicamente todas tus carpetas.
Información Técnica
El archivo IMG0012.zip, contiene en su interior otro archivo de nombre img0012-www.photostorage.com, muy liviano y que fácilmente puede confundirse con que sea una imágen, que NO ES. Es un archivo ejecutable.
El troyano está formado por 2 componentes:
a) El principal, que contiene al secundario. Al ejecutarlo, el virus realiza las siguientes operaciones:
• Infecta los archivos ejecutables. Por cada uno de ellos, una copia del virus es creada (con nombre al azar y caracter de "oculta") en el mismo directorio, aumentando la cantidad de archivos en el disco duro.
• Cada 4 segundos, enumera todas las ventanas abiertas y cierra aquellas que contengan nombres de antivirus. A la vez, cierra la posibilidad de editar el registro de sistema o de alternar entre tareas (o cerrarlas) a través de control + alt + supr.
• Busca direcciones de e-mail guardadas en el disco duro en archivos menores de 120k. Luego filtra los correos de tipo .gov, .mil., etc., y se reenvia con distintos títulos (una lista de estos puede ser vista en la página original). El mail irá con un adjunto llamado: “Flash Postcard.exe”,” greeting postcard.exe” , “greeting card.exe” o “postcard.exe”;
• Puede copiarse en el directorio %system% (en general con el nombre de alsys.exe). Modificará “HKLM\\SOFTWARE\Microsoft\\Windows\\CurrentVersion\\Run” agregando un nuevo comando “Agent” que ejecuta el archivo copiado en el directorio %system%. Con esto, se asegura que el virus se ejecute al iniciar Windows.
• Deja y ejecuta un segundo componente (wincom32.sys)
b) Segundo componente (wincom32.sys). Este es un componente raíz que se ocultará y ocultará su archivo de configuración wincom32.ini. El siguiente registro (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wincom32) será creado para asegurarse que el driver sea ejecutado al iniciar Windows. El archivo .ini (wincom32.ini) contiene una lista blanca (de máquinas infectadas) y una negra. Wincom32.sys contiene un segundo ejecutable que actualiza wincom32.ini. Este ejecutable también puede bajar y ejecutar distintos archivos. Usa el puerto 7871 UDP para comunicarse con otros hosts. Puede recibir comandos para ser bajado desde otros hosts.
Como dato extra, al enviarse por MSN generalmente va acompañado de uno de los siguientes mensajes:
- Oye voy a agregar esa foto a mi blog ya
- Oye voy a poner esa foto de nosotros en myspace
- Hola esas son las fotos
- Hola esas son las fotos de la reunion
Adicionalmente, el sitio www.virscan.org provee de la siguiente información sobre antivirus y la forma en que detectan el troyano:
Una breve traducción, para quienes no saben inglés:
Síntomas
Tu computador puede que funcione más lento. Aumenta la actividad de internet (haciéndola más lenta, a la vez). Además, una serie de archivos con nombres al azar (que pesan aproximadamente 47kb) aparecerán en practicamente todas tus carpetas.
Información Técnica
El archivo IMG0012.zip, contiene en su interior otro archivo de nombre img0012-www.photostorage.com, muy liviano y que fácilmente puede confundirse con que sea una imágen, que NO ES. Es un archivo ejecutable.
El troyano está formado por 2 componentes:
a) El principal, que contiene al secundario. Al ejecutarlo, el virus realiza las siguientes operaciones:
• Infecta los archivos ejecutables. Por cada uno de ellos, una copia del virus es creada (con nombre al azar y caracter de "oculta") en el mismo directorio, aumentando la cantidad de archivos en el disco duro.
• Cada 4 segundos, enumera todas las ventanas abiertas y cierra aquellas que contengan nombres de antivirus. A la vez, cierra la posibilidad de editar el registro de sistema o de alternar entre tareas (o cerrarlas) a través de control + alt + supr.
• Busca direcciones de e-mail guardadas en el disco duro en archivos menores de 120k. Luego filtra los correos de tipo .gov, .mil., etc., y se reenvia con distintos títulos (una lista de estos puede ser vista en la página original). El mail irá con un adjunto llamado: “Flash Postcard.exe”,” greeting postcard.exe” , “greeting card.exe” o “postcard.exe”;
• Puede copiarse en el directorio %system% (en general con el nombre de alsys.exe). Modificará “HKLM\\SOFTWARE\Microsoft\\Windows\\CurrentVersion\\Run” agregando un nuevo comando “Agent” que ejecuta el archivo copiado en el directorio %system%. Con esto, se asegura que el virus se ejecute al iniciar Windows.
• Deja y ejecuta un segundo componente (wincom32.sys)
b) Segundo componente (wincom32.sys). Este es un componente raíz que se ocultará y ocultará su archivo de configuración wincom32.ini. El siguiente registro (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wincom32) será creado para asegurarse que el driver sea ejecutado al iniciar Windows. El archivo .ini (wincom32.ini) contiene una lista blanca (de máquinas infectadas) y una negra. Wincom32.sys contiene un segundo ejecutable que actualiza wincom32.ini. Este ejecutable también puede bajar y ejecutar distintos archivos. Usa el puerto 7871 UDP para comunicarse con otros hosts. Puede recibir comandos para ser bajado desde otros hosts.
Como dato extra, al enviarse por MSN generalmente va acompañado de uno de los siguientes mensajes:
- Oye voy a agregar esa foto a mi blog ya
- Oye voy a poner esa foto de nosotros en myspace
- Hola esas son las fotos
- Hola esas son las fotos de la reunion
Adicionalmente, el sitio www.virscan.org provee de la siguiente información sobre antivirus y la forma en que detectan el troyano:
AntiVir > TR/Crypt.ULPM.Gen
BitDefender > Trojan.Peed.Gen
ClamAV > Trojan.SdBot-7061
F-Secure > Backdoor.Win32.SdBot.bxr
Ikarus > Trojan.Peed
Kaspersky > Backdoor.Win32.SdBot.bxr
nProtect > Trojan.Peed.Gen
Quick Heal > Backdoor.SdBot.bxr
Sophos > Mal/HckPk-A
ViRobot > Backdoor.Win32.SdBot.25600.C
Para ir finalizando, tengan MUCHO cuidado con que tipo de archivos reciben por MSN / e-mail, y de quien. Mantengan siempre sus antivirus al día, y si un archivo parece sospechoso, o la forma de recibirlo no es la usual, rechácenlo o descártenlo, aún cuando venga de un conocido. Los virus se caracterizan por poder "hablar" por su cuenta y ser muy engañosos en ese aspecto.
Saludos a todos, y por favor traten de hacer correr esta información a sus conocidos y amigos :).
Otros sitios que hablan al respecto:
Techlatina.com - Blog Argentino
C.I.S.R.T. - Información del virus y sus acciones (en inglés)
Forospyware.com - Guía para eliminar virus de MSN
Mixelandia.com - Listado de Antivirus y nombre con el que detectan al troyano
Saludos a todos, y por favor traten de hacer correr esta información a sus conocidos y amigos :).
Otros sitios que hablan al respecto:
Techlatina.com - Blog Argentino
C.I.S.R.T. - Información del virus y sus acciones (en inglés)
Forospyware.com - Guía para eliminar virus de MSN
Mixelandia.com - Listado de Antivirus y nombre con el que detectan al troyano
4 Comentarios - Click aqui para comentar!:
Muchas gracias por tu información, a mí tb me ha pasado, y a otro colega tb. Te he linkeado en una entrada. Saludos!
Hola, muy buenas... llego desde la entrada de Lili...
Muy buena esta información, siempre viene bien...
Como creo que no lo pone, comentar que a un amigo mío le pasó y que, con el mismo "Panda On-Line" (por si a alguien le coge con el antivirus desfasado) también lo solucionó :)
Un saludo!!
hola a todos: solo quiero decirles q me ayuden a qutar ese virus de mi computador ya q se lo rnvia a todos mi conctactos
Hola anónimo,
En el texto que acabas de leer salen links y guías de como quitar el virus en cuestión.
Mucho éxito librándote de esa molestia ;).
saludos!
Publicar un comentario
Aporta con tu comentario aquí!