SANTIAGO: Win32.Atak.B@mm , al parecer el gusano realizará después del 8 de Agosto del 2004, ataques DDoS a la página www.techtv.com, enviando algunas peticiones HTTP en 97 procesos, enviando a los destinatarios a una dirección web donde pueden visualizar el vídeo de la decapitación de un americano capturado en Irak por las fuerzas de Al-Qaeda.
Síntomas
Presencia del archivo SVRHOST.EXE en el directorio %system% (por ejemplo C:WindowsSystem32) y en la lista de procesos.
En Windows 2000/XP/2003 la clave de registro HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionwindows contiene la cadena load que apunta a %system%SVRHOST.EXE.
En Windows 9x/ME el archivo %windir%win.ini contiene:
[windows]load=%system%svrhost.exe
Descripción Técnica
Este gusano es un típico mass-mailer (enviador masivo) que se propaga a través de archivos adjuntos infectados con nombres de doble extensión. Básicamente opera como su variante anterior, excepto que realiza más acciones.
Cuando se inicia Atak.B comprueba si es ejecutado desde %system%SVRHOST.EXE y sino, se copia en esa ubicación y se ejecuta la nueva copia.
Intenta crear el mutex SloperV2mtx-e-Machine para evitar que dos procesos duplicados actúen simultáneamente, y realiza el chuequeo anti-debugging (anti-depuración).
Si el proceso está siendo depurado por un debugger, el gusano abre una ventana con el siguiente texto lol! try to dig me? y se cierra.
En Windows 9x/ME el gusano se registra a sí mismo como un servicio, y a partir de entonces no aparece en la lista de procesos.
También en ese momento crea un proceso que actúa como un backdoor (puerta trasera) en todos los puertos del rango 1000 – 1015 (ambos incluidos) usándolos para que un atacante pueda enviar y ejecutar cualquier programa.
Desinfección manual:
* Abrir el Administrador de tareas presionando [CTR]+[ALT]+[SUPR] en Win9x/ME o [CTRL]+[SHIFT]+[ESCAPE] en Win2000/XP
* Usar Terminar Proceso en SVRHOST.EXE de la pestaña Procesos.
* Abrir el Editor del Registro escribiendo [WIN]+[R]regedit[INTRO]
* Eliminar las clave del registro: HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload
* Eliminar el archivo %system%hint.exe