Nuevo BUCHON.C y su eliminacion con ELINETSA

Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Nuevo BUCHON.C y su eliminacion con ELINETSA

Mensaje por msc hotline sat » 19 Ene 2005, 12:15

Nueva variante C del virus W32/BUCHON.C



Este virus, al tener tecnicas de engaño en el remitente de los e-mail que envía, y propagarse al estilo del NetSky, fue inicialmente controlado, en sus variantes A y B como variantes del NetSky, y su eliminacion la incluimos en el ELINETSA.EXE



Ahora esta variante, ya de entrada, algunos antivirus como McAfee le llaman Buchon, si bien es una variante mas igual que los otros, por lo que lo hemos seguido incluyendo su eliminacion dentro del ELINETSA, para lo cual se ha creado la version 1,9:



---v3.9--- (18 de Enero del 2004) (para el Buchon.A,B,C,D,E y F de McAfee y VSAntiVirus)



La informacion al respecto se puede ver en:



http://vil.nai.com/vil/content/v_130857.htm



DOnde puede verse que desde la version 4420 de McAfee ya se controla, y como datos significativos cabe indicar que las direcciones de envio las toma de ficheros del dico duro cin determinadas extensiones, no solo de las libretas de direcciones, y que instala su propio motor SMTP para el envio de dichos mails, asi como que crea un keylogger, y que para el gusano utiliza el nombre CSRSS.EXE, que existe en los sistemas XP y W2000, pero en lugar de utilizar la carpeta de sistema, como lo hace microsoft, lo crea en el directorio raiz, por ejemplo, C:\



Lo que se consigue con ello es pasar inadvertido, pues al abrir el administrador de tareas se verá activo un CSRSS-EXE, que es normal de dichos sistemas, si bien no lo será en este caso, y tendrá dos, el normal y el gusano, pero puede crear confucion, que es lo que pretenden.



Por último, el fichero anexado al mail, que es el gusano, pretende pasar por una informacion de texto, terminada en McAfee.com , pero que en realidfad es un fichero ,com gusano, y al ejecutarlo instalaría el virus.



message txt (varios espacios) length (tamaño aleatorio) bytes (varios espacios) mcafee.com



un ejemplo sería " message txt length 4321 bytes mcafee.com "



y pinchando sobre message.txt, se ejecutaría el fichero .com , indicado entre comillas en la línea anterior.



Con ello no se copia el gusano, sino que crea y ejecuta el keylogger, siendo ambos empaquetados con UPX y de 37,408 bytes el gusano y de 14,848 bytes el keylogger creado.



Para detener el proceso virico en memoria, eliminacion del keylogger y restauracion de las claves de registro modificadas por el virus, disponemos de nuestra utilidad ELINETSA.EXE, que, aparte de todas las variantes del NETSKY conocidas hasta la fecha, controla tambien todas las variantes de dicho BUCHON conocidas hasta hoy.



Para probar esta utilidad, puede utilizarse el ELINETSA que esta disponible en esta web:





https://foros.zonavirus.com/viewtopic.php?t=10



saludos



ms, 19-01-2005
Arriba
Cerrado

Volver a “ALERTAS VIRICAS y utilidades de eliminacion”