Bitdefender ha informado de la aparición de un nuevo virus de alta capacidad de propagación por Internet aunque de baja peligrosidad. Se trata del W32.Kwbot.Worm, tipo gusano y que ocupa apenas 19 KB. Es un nuevo gusano de Internet que utiliza el programa KaZaA para propagarse. Además el virus incluye un componente backdoor de IRC, que permite el control remoto al equipo infectado.El virus está desarrollado en lenguaje C y el fichero infectado está comprimido y encriptado. Utiliza también técnicas de protección para dificultar su detección.
Ejecutando el fichero infectado, el virus se copia a si mismo bajo el nombre explorer32.exe en el directorio del sistema de Windows y cambia el registro de tal forma que se ejecuta con cada inicio del sistema operativo.
El virus crea el fichero temporal (c:moo.reg) que lo utiliza para configurar el valor de la entrada del registro HKEY_CURRENT_USERSoftwareKaz-aaLocalContentDisableSharing a 0 (para activar los ficheros compartidos del programa KaZaA). Se generan aproximadamente 150 copias del virus en la carpeta compartida del programa KaZaA, utilizando nombres de programas y de aplicaciones multimedia:
Es capaz de propagarse a través de Internet descargándose archivos previamente infectados en la carpeta compartida de KaZaA.
El componente backdoor conecta con los servidores IRC (Internet Relay Chat) y de esta forma se puede realizar el control remoto de un equipo infectado (se requiere autentificación por contraseña). En el equipo infectado se podrá realizar las siguientes acciones:
– actualizar el virus descargándose una nueva versión
– envía información acerca del equipo infectado (la velocidad de la CPU, memoria, sistema operativo, tipo de conexión a Internet, la IP local etc…)
– envía información acerca de los programas instalados (enviando el fichero c:moo.txt que incluye los nombres de los programas instalados en Archivos de programa)
– permite ejecutar comandos específicos de IRC, incluyendo ataques de otros usuarios en el servidor de chat.
Para su eliminación manual el usuario infectado debe eliminar (utilizando el REGEDIT) las entradas del registro especificadas en la sección «Síntomas» y el fichero «explorer32.exe» ubicado en el directorio del sistema Windows, antes de reiniciar el equipo. También se deben eliminar todos los ficheros infectados ubicados en la carpeta compartida del programa KaZaA.
Para la eliminación automática: configurar BitDefender para eliminar automáticamente los ficheros infectados.
Para detalles técnicos sobre esta nueva amenaza y su desinfección, le recomendamos visite: http://www.bitdefender-es.com/html/virus_info.php.
BitDefender pone a su disposición de forma gratis una serie de herramientas de desinfección contra ciertos virus. Más detalles: http://www.bitdefender-es.com/html/tools_gratis.php.
Más información acerca de los productos BitDefender la encontrará en: http://www.bitdefender-es.com/b2b/tienda_productos.php.
Viernes, 28 de Junio de 2002