Pgpcoder.B

WEBUS.H troyano borra Autorun.inf y otros servicios se conecta a uno de 3 servidores vía puertos TCP, etc.

Troj/Webus.H

Webus.H es un troyano residente en memoria reportado el 04 de Julio del 2005, que ingresa furtivamente a los sistemas a través de cualquier servicio de Internet con un archivo de nombre CSRSS.exe, se copia a las carpetas %System% y a la unidad y ruta en uso.

Borra el archivo Autorun.inf y otros servicios asociados a sistemas de seguridad.

Abre un Backdoor y se conecta a uno de tres servidores IRC (Internet Relay Chat) a través de los puertos TCP 1021 y 1088. El intruso tomará control del sistema infectado y además lo usará como servidor re-transmisor de envío de correo SPAM.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 42 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ingresar a un sistema se copia a las carpetas %System% y ruta %HomeDrive%\%HomePath% como CSRSS.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ".svchost" = "%System%\CSRSS.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ".svchost" = "%HomeDrive%\%HomePath%\Application Data\Microsoft\Internet Explorer\CSRSS.exe" también crea una llave para procesar las ejecuciones en las conexiones de red: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "[Ruta_al_Troyano]" = "[Ruta_al_Troyano]:*:Enabled:Microsoft Update" esta llave no es generada siempre debido a un error en su programación. %System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. %HomeDrive% es la variable que indica la unidad de disco en uso al momento de la infección. %HomePath% es la variable que indica la ruta en uso al momento de la infección. Al siguiente inicio del sistema el troyano borra el Autorun.inf que contiene las primeras instrucciones asociadas a la función Autorun que es la configuración de los programas de Inicio del sistema. luego intenta descargar el archivo upd_0001.exe del dominio koreano medabop.com, actualmente desactivado. Borra los siguientes servicios asociados a sistemas de seguridad: SAVScan SharedAccess Symantec Core LC kavsvc navapsvc wscsvc wuauserv

en caso de no lograr borrarlos, procede a deshabilitarlos.

Finalmente abre un Backdoor en cualquiera de los siguientes servidores IRC (Internet Relay Chat) a través de puertos TCP, desde donde recibirá instrucciones y comandos del intruso: web.metanap.com (puerto TCP 1021) web.megaden.com (puerto TCP 1088) members.medabon.com (puerto TCP 1021) el intruso podrá ejecutar entre otras las siguientes acciones: Descargar y ejecutar archivos con códigos malignos. Obtener información del sistema. Usar el sistema infectado como servidor retransmisor (relay) de correo SPAM Tomar control en forma remota del sistema infectado. PER ANTIVIRUS® versión 9.3 con registro de virus al 04 de Julio del 2005 detecta y elimina eficientemente este troyano.