|||
Symantec.com > Security Response > W32.Bropia.J
IMPRIMIR ESTA PÁGINA

W32.Bropia.J

Nivel de riesgo 2: Bajo

Descargar herramienta de eliminación | Página de impresión

Detectado: 2 de Febrero de 2005
Actualizado: 13 de Febrero de 2007 12:33:32 PM
También conocido como: WORM_BROPIA.F [Trend Micro], W32/Bropia.worm.g [McAfee], Win32.Bropia.E [Computer Assoc
Tipo: Gusano
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Cuando W32.Bropia.J se ejecuta realiza lo siguiente:
  1. Realiza la búsqueda de los siguientes archivos:

    • %System%\adaware.exe
    • %System%\VB6.EXE.exe
    • %System%\lexplore.exe
    • %System%\Win32.exe

      Nota: %System% es una variable. El gusano busca la carpeta System y se copia así mismo en dicha carpeta. En forma predeterminada esta carpeta es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

  2. Crea una copia del siguiente archivo y lo ejecuta, en caso de dicho archivo no esté presente en el equipo:

    C:\cz.exe

    Nota: El archivo es una copia de una vairante de W32.Spybot.Worm.

  3. W32.Spybot.Worm se copia así mismo en %System%\winhost.exe y elimina el archivo C:\cz.exe.

  4. Agrega el valor:

    "win32" = "winhost.exe"

    a las claves de registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_CURRENT_USER\Software\Microsoft\OLE

    lo que permite que la variante de W32.Spybot.Worm se inicie al momento de que arranca Windows.

  5. Se copia a sí mismo en la unidad de disco C con cualquiera de los siguientes nombres:

    • LOL.scr
    • Webcam.pif
    • bedroom-thongs.pif
    • naked_drunk.pif
    • LMAO.pif
    • ROFL.pif
    • underware.pif
    • Hot.pif
    • new_webcam.pif

  6. Se copia así mismo como %System%\msnus.exe.

  7. Crea una copia del archivo C:\sexy.jpg y la abre en una ventana mostrando la siguiente imagen de un pollo rostizado:



  8. Supervisa cualquier cambio en el estado de los contactos de MSN Messenger.

  9. Se propaga por medio de envío de comandos al MSN Messenger solicictando al programa el envío de la copia del gusano a la lista de contactos.

  10. Configura los niveles de audio en cero.


Recomendaciones

Symantec Security Response invita a todos los usuarios y administradores a adoptar las siguientes "mejores prácticas" básicas de seguridad:

  • Desactive y quite los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como servidores de FTP, telnet y servidores de web. A través de estos servicios ocurren buena parte de los ataques. Si se quitan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
  • Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
  • Mantenga siempre el parche actualizado, sobre todo en equipos que alojan servicios públicos, a los que se puede acceder a través de algún firewall, como servicios HTTP, FTP, de correo y DNS (por ejemplo: todos los equipos basados en Windows deben tener instalado el Service Pack actual).. Además, aplique cualquiera de las actualizaciones de seguridad que se mencionan en este artículo, en boletines de seguridad confiables o en sitios Web del proveedor.
  • Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños o a reducir el daño cuando se ataca a un equipo.
  • Configure el servidor de correo electrónico para que bloquee o elimine los mensajes que contengan adjuntos que se utilizan comúnmente para distribuir virus, como archivos .vbs, .bat, .exe, .pif y .scr.
  • Separe rápidamente los equipos infectados para evitar que pongan en peligro otros equipos de la organización. Realice un análisis forense y restaure los equipos con medios que sean de su confianza.
  • Instruya a sus empleados para que no abran adjuntos a menos que los estén esperando. No ejecute el software descargado desde Internet, a menos que lo haya analizado previamente en busca de virus. La sola visita a un sitio Web infectado puede infectar su sistema si ciertas vulnerabilidades del navegador no se corrigieron con los parches.

Artículo de: Kevin Ha
Norton 360 Versión 3.0
©1995 - 2009 Symantec Corporation
Mapa del sitio|
Nota legal|
Política de privacidad|
Contáctenos|
Sitios mundiales|
Acuerdos de licencia