The Legendary Hackers - Virus Whybo.Z (Peligrosidad: 1

Gusano-Puerta Trasera que realiza ataques de Denegación de Servicio (DoS) contra servidores de una lista e infecta todos los archivos .EXE que encuentre en las unidades de la C: a la Z: que haya en el ordenador infectado. También se conecta a través de IRC a un canal de Chat desde el que recibe órdenes de un atacante remoto.

Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de 'Restauración del Sistema' para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Ayuda para utilizar la opción de Restauración en Windows XP. Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar restauración del sistema en Windows Me o en Windows XP. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado. Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero. Para más información consulte Eliminar librerías .DLL o .EXE. Detenga los servicios creados por acción del código malicioso, siguiendo el proceso indicado: Pulse 'Inicio' -> 'Ejecutar'. Teclee services.msc, y pulse 'Aceptar'. Localice y seleccione los servicios indicados en la sección de ‘Detalles del código malicioso’. Pulse 'Acción' -> 'Propiedades'. Pulse 'Detener'. Cambie el 'Tipo de inicio:' a Manual. Pulse 'Aceptar' y cierre la ventana de Servicios. Reinicie su equipo. Analice todos los dispositivos que haya conectado recientemente a su ordenador y si encuentra los siguientes ficheros: AutoRun.inf setup.exe Escanéelos con un antivirus actualizado, para asegurarse de que están libres de virus. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Datos Técnicos Peligrosidad: 1 - Mínima Difusión: Baja Fecha de Alta:28-08-2007 Última Actualización:28-08-2007 Daño: Medio [Explicación de los criterios] Dispersibilidad: Bajo Nombre completo: Worm-Backdoor.W32/Whybo.Z@DE Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 Mecanismo principal de difusión: [DE] - Se propaga a dispositivos extraibles insertados o conectados en/al equipo afectado. Tamaño (bytes): 89088 Alias:W32.Whybo.Z (Symantec), W32/Whybo.Z (PerAntivirus) Detalles Método de Infección/Efectos Cuando Whybo.Z se ejecuta, realiza las siguientes acciones: Guarda una copia de sí mismo con los atributos de "oculto" y de "sistema", en las siguientes carpetas. El nombre de los ficheros creados varía, pero siempre son 5 caracteres aleatorios escritos en minúscula: %SystemDrive%Program FilesCommon FilesMicrosoft Shared %SystemDrive%Program FilesInternet ExplorerConnection Wizard %SystemDrive%Program FilesWindows Media Player %Windir%addins %System% %System%drivers %System%dllcache %System%IME Notas: %SystemDrive% es una variable que hace referencia a la unidad en la que Windows está instalado. Por defecto es C:. %Windir% es una variable que hace referencia al directorio de instalación de Windows. Por defecto es C:Windows (Windows 95/98/Me/XP) o C:Winnt (Windows NT/2000). %System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP). Guarda una copia de sí mismo en el siguiente fichero: '%System%serivces.exe' al que le asigna los atributos de "oculto" y de "sistema". Verifica la existencia de la sub-llave: Valor: HKLMSYSTEMCurrentControlSetServiceswuauserv Para ejecutarse en cada reinicio del sistema, crea el siguiente servicio: Nombre de Servicio: Services management Ruta de imagen: %System%serivces.exe Crea un mutex con nombre: "HackerooDDos" . Nota: Un ‘mutex’ es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria. Mientras se ejecuta, crea el archivo temporal: "%System%update.bak" Crea una ventana oculta con las siguientes características: Nombre de la ventana: DDos Nombre de la clase: Service Intenta conectarse a la dirección: 'http://xicao.[-Eliminado-].org:80' desde donde se descargará un listado con servidores, a los que intentará ejecutar un ataque de Denegación de Servicio (DoS). Se conecta a un servidor IRC (Internet Relay Chat) y se une a un canal de Chat cifrado desde donde recibirá instrucciones por parte de un atacante remoto. El gusano puede realizar diversas acciones, entre otras: Descargar y ejecutar archivos con códigos maliciosos Controlar servicios y procesos Iniciar o detener servicios y procesos Capturar y enviar información del sistema Capturar las teclas pulsadas. Capturar contraseñas Ejecutar ataques de denegación de servicio (DoS) Infecta todos los archivos con extensión .EXE que encuentre en las unidades del ordenador de la C: a la Z:, evitando los que se encuentren dentro de alguna carpeta con los siguientes nombres: ComPlus Applications;Messenger Documents and Settings Internet Explorer Messenger Microsoft Frontpage Movie Maker NetMeeting Outlook Express Recycled System Volume Information Windows Media Player Windows NT WINDOWS WindowsUpdate WINNT Método de Propagación Se propaga copiándose en todas las unidades del ordenador de la C: a la Z:, donde deja los siguientes ficheros: %Letra de la unidad%:AutoRun.inf %Letra de la unidad%:setup.exe Si un usuario introduce alguno de estas unidades en otro ordenador, automáticamente se ejecutará el fichero "AutoRun.inf" y el nuevo ordenador se quedará infectado. Otros Detalles Está desarrollado en Visual C++ y tiene un tamaño de 89.088 bytes.