Detectan virus con vídeo terrorista

El virus se denomina Atak y ya han aparecido las versiones A y B. Dicho virus actúa como un gusano típico “mass-mailer” (enviador masivo) que se propaga a través de archivos adjuntos infectados con nombres de doble extensión.

SANTIAGO: Win32.Atak.B@mm , al parecer el gusano realizará después del 8 de Agosto del 2004, ataques DDoS a la página www.techtv.com, enviando algunas peticiones HTTP en 97 procesos, enviando a los destinatarios a una dirección web donde pueden visualizar el vídeo de la decapitación de un americano capturado en Irak por las fuerzas de Al-Qaeda.

Síntomas
Presencia del archivo SVRHOST.EXE en el directorio %system% (por ejemplo C:WindowsSystem32) y en la lista de procesos.

En Windows 2000/XP/2003 la clave de registro “HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionwindows” contiene la cadena “load” que apunta a “%system%SVRHOST.EXE”.

En Windows 9x/ME el archivo “%windir%win.ini” contiene:
[windows]load=%system%svrhost.exe

Descripción Técnica
Este gusano es un típico “mass-mailer” (enviador masivo) que se propaga a través de archivos adjuntos infectados con nombres de doble extensión. Básicamente opera como su variante anterior, excepto que realiza más acciones.
Cuando se inicia Atak.B comprueba si es ejecutado desde %system%SVRHOST.EXE y sino, se copia en esa ubicación y se ejecuta la nueva copia.
Intenta crear el mutex “SloperV2mtx-e-Machine” para evitar que dos procesos duplicados actúen simultáneamente, y realiza el chuequeo “anti-debugging” (anti-depuración).
Si el proceso está siendo depurado por un debugger, el gusano abre una ventana con el siguiente texto “lol! try to dig me?” y se cierra.

En Windows 9x/ME el gusano se registra a sí mismo como un servicio, y a partir de entonces no aparece en la lista de procesos.
También en ese momento crea un proceso que actúa como un backdoor (puerta trasera) en todos los puertos del rango 1000 – 1015 (ambos incluidos) usándolos para que un atacante pueda enviar y ejecutar cualquier programa.

Desinfección manual:
* Abrir el Administrador de tareas presionando [CTR]+[ALT]+[SUPR] en Win9x/ME o [CTRL]+[SHIFT]+[ESCAPE] en Win2000/XP
* Usar “Terminar Proceso” en SVRHOST.EXE de la pestaña “Procesos”.
* Abrir el “Editor del Registro” escribiendo [WIN]+[R]regedit[INTRO]
* Eliminar las clave del registro: “HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload”
* Eliminar el archivo %system%hint.exe

Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022