W32.Spybot.Worm

1. Se copia a sí mismo en la carpeta %System%.
   
   

   ---

   Nota: %System% es una variable. El gusano busca la carpeta System y se copia así mismo en dicha carpeta. En forma predeterminada esta carpeta es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

   ---

   
   
2. Puede ser configurado para crear y compartir carpetas en la red de recursos compartidos por KaZaA, al agregar los siguientes valores al registro:
   
   "dir0"="012345:<path configurable>"
   
   a la clave de registro:
   
   HKEY_CURRENT_USER\SOFTWARE\KAZAA\LocalContent
   
   
3. Se copia a sí mismo en la ruta configurada con nombres de archivos que están diseñados para engañar a otros usuarios para descargar y ejecutar el gusano.
   
   
4. Puede ser configurado para llevar a cabo una Negación de Servicio (DoS) y atacar un servidor en específico.
   
   
5. Se puede configurar para finalizar procesos de productos de seguridad.
   
   
6. Se conecta a servidores IRC específicos y se une a un canal para recibir instrucciones.
   Uno de las instrucciones puede ser copiarse a sí mismo en varias carpetas de Inicio de Windows fuertemente codificado como en los siguientes ejemplos:
   
   Documents and Settings\All Users\Menu Start\Programma's\Opstarten
   WINDOWS\All Users\Start Menu\Programs\StartUp
   WINNT\Profiles\All Users\Start Menu\Programs\Startup
   WINDOWS\Start Menu\Programs\Startup
   Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
   Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
   Documents and Settings\All Users\Start Menu\Programs\Startup
   
   

   ---

   Nota: Symantec Security Response ha recibido reportes de variantes de este gusano que crean archivos de cero bytes en la carpeta de Inicio. Estos archivos pueden tener nombres como TFTP780 o TFTP###, en donde # puede ser cualquier número.

   ---

   
   
7. Agrega un valor variable en el registro a uno o más de las siguientes claves:
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
   RunOnce
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
   RunServices
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
   Por ejemplo:
   
   "Microsoft Update" = "wuamgrd.exe"
   
   
8. Puede registrar las teclas utilizadas en su teclado en un archivo, dentro de la carpeta System.
   
   
9. Puede enviar información personal, como puede ser el sistema operativo, dirección IP, nombre de usuario, etc, al servidor IRC.
   
   
10. Puede abrir un backdoor en un puerto.
    
    
11. Se puede dispersar aprovechando las siguientes vulnerabilidades:

• La vulnerabilidad DCOM RPC (descrita en Microsoft Security Bulletin MS03-026) utilizando el puerto TCP 135.
• El desbordamiento de Buffer por Servicio Remoto de autoridad de Seguridad Local en Microsoft Windows (descrita en Microsoft Security Bulletin MS04-011).
• La vulnerabilidad en Microsoft SQL Server 2000 o MSDE 2000 audit (descrita en Microsoft Security Bulletin MS02-061) utilizando el puerto UDP 1434.
• La vulnerabilidad WebDav (descrita en Microsoft Security Bulletin MS03-007) utilizando el puerto TCP 80.
• El desbordamiento de Buffer UPnP NOTIFY (descrito en Microsoft Security Bulletin MS01-059).
• La vulnerabilidad de desbordamiento de servicio de Buffer de estaciones de trabajo (descrita en Microsoft Security Bulletin MS03-049) utilizando el puerto TCP 445. Los usuarios con Windows XP se protegen de esta vulnerabilidad al aplicar el parche descrito en Microsoft Security Bulletin MS03-043. Los usuarios con Windows 2000 deben aplicar el parche descrito en Microsoft Security Bulletin MS03-049.

Recomendaciones

Symantec Security Response invita a todos los usuarios y administradores a adoptar las siguientes "mejores prácticas" básicas de seguridad:

• Desactive y quite los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como servidores de FTP, telnet y servidores de web. A través de estos servicios ocurren buena parte de los ataques. Si se quitan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
• Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
• Mantenga siempre el parche actualizado, sobre todo en equipos que alojan servicios públicos, a los que se puede acceder a través de algún firewall, como servicios HTTP, FTP, de correo y DNS (por ejemplo: todos los equipos basados en Windows deben tener instalado el Service Pack actual).. Además, aplique cualquiera de las actualizaciones de seguridad que se mencionan en este artículo, en boletines de seguridad confiables o en sitios Web del proveedor.
• Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños o a reducir el daño cuando se ataca a un equipo.
• Configure el servidor de correo electrónico para que bloquee o elimine los mensajes que contengan adjuntos que se utilizan comúnmente para distribuir virus, como archivos .vbs, .bat, .exe, .pif y .scr.
• Separe rápidamente los equipos infectados para evitar que pongan en peligro otros equipos de la organización. Realice un análisis forense y restaure los equipos con medios que sean de su confianza.
• Instruya a sus empleados para que no abran adjuntos a menos que los estén esperando. No ejecute el software descargado desde Internet, a menos que lo haya analizado previamente en busca de virus. La sola visita a un sitio Web infectado puede infectar su sistema si ciertas vulnerabilidades del navegador no se corrigieron con los parches.