Nuevos Virus – 30/11/2010

Prolaco.EK

Gusano que se propaga por falsos correos simulando provenir de alguna conocida empresa, por redes de intercambio de archivos P2P, por carpetas compartidas y por dispositivos extraíbles. Una vez infecta un ordenador descarga otros virus en el equipo y deshabilita el antivirus para dificultar su eliminación.

Detalles técnicos

Peligrosidad:3 – Media

Nombre completo del virus: Worm.Multi/Prolaco.EK@P2P+MM+MM+DE+SMB+Otros

Tipo de código: Worm

Plataformas afectadas: Multi: Afecta a las plataformas W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95/ W64

Plataformas de test: Microsoft Windows XP

Fichero implicado: CV-20100120-112.zip

Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.

Tamaño (bytes): 499.305

Alias:

• Trojan.Win32.Buzus.gdef (Kaspersky)
• WORM_PROLACO.EK (Trend Micro) 
• Trojan-Downloader:W32/Malagent.C (F-Secure)
• Win-Trojan/Buzus.640512.D (Ahn Lab)
• Trojan.MulDrop1.54160 (Doctor Web)
• W32/Bredolab.ACX (Norman)
• Trojan.Generic.KDV.68538 (Bit Defender)
• TR/Buzus.gdef (AVIRA)
• W32/Xirtem@MM (McAfee)
• Trojan.Buzus-8525 (ClamAV)
• W32/VobfusLNK.A (Panda Security)
• W32.Ackantta.H@mm (Symantec)

Propagación

Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:

Redes de Compartición de Ficheros P2P

Se difunde por redes de compartición de ficheros P2P (peer to peer).

Correo Electrónico Masivo

Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.

Nombre Ficheros: Alguno de los siguientes

• nombres de conocidos programas actuales como antivirus, programas de retoques de imágenes, creación de CDs y DVDs, etc

Correo Electrónico Masivo

Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.

Nombre Ficheros: Alguno de los siguientes

• nombres de conocidos programas actuales como antivirus, programas de retoques de imágenes, creación de CDs y DVDs, etc

Dispositivos Extraíbles

Se propaga a dispositivos extraíbles insertados o conectados en/al equipo afectado, en cada disposivo crea una carpeta de nombre [RECYCLER] donde guardará una copia de sí mismo con el nombre «redmond.exe» y un fichero «autorun.inf» que hace que la copia del gusano se ejecute automáticamente cada vez que el dispositivo se conecte a un ordenador

Carpetas Compartidas de Red de Microsoft

Se difunde por carpetas compartidas de red de Microsoft, modificando todos los ficheros .EXE y .MSI que encuentre por una copia de sí mismo, para que cuando un usuario quiera ejecutar alguno de dichos ficheros, a parte de ejecutar el archivo original también ejecute una copia del gusano

Otro mecanismo de propagación

Imágenes de los correos con los que se autopropaga el virus son las siguientes:

Imágenes cortesía de Trend Micro

Infección/Efectos

Cuando Prolaco.EK se ejecuta, realiza las siguientes acciones:

Ficheros y carpetas

1. Elimina el fichero
   • «%ProgramFiles%Prevx»
2. Crea los siguientes ficheros que en realidad es otro programa malicioso que en realidad es otro programa malicioso copia de sí mismo
   • «%System%sta-cpe.exe»
   • «%System%sta-css.exe»
   • «%System%PCSuite.exe»

Modificación del fichero Host

Modifica el fichero Host para alterar el acceso a determinadas direcciones de Internet.

Claves y entradas del registro

1. Elimina la entrada del registro para impedir que los antivirus se ejecuten automáticamente en cada reinicio del sistema

   • Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
     Valor: SCANINICIO =

   Elimina la entrada del registro para impedir que los antivirus se ejecuten automáticamente en cada reinicio del sistema

   • Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
     Valor: DrWebScheduler =

   Elimina la entrada del registro para impedir que los antivirus se ejecuten automáticamente en cada reinicio del sistema

   • Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
     Valor: F-PROT Antivirus Tray application =

   Elimina la entrada del registro para impedir que los antivirus se ejecuten automáticamente en cada reinicio del sistema

   • Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
     Valor: Windows Defender =

   Elimina la entrada del registro para impedir que los antivirus se ejecuten automáticamente en cada reinicio del sistema

   • Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
     Valor: MskAgentexe =

   Elimina la entrada del registro para impedir que los antivirus se ejecuten automáticamente en cada reinicio del sistema

   • Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
     Valor: McENUI =

   Elimina la entrada del registro para impedir que los antivirus se ejecuten automáticamente en cada reinicio del sistema

   • Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
     Valor: avast! =

2. Crea la siguiente clave del registro

   • Clave: HKCUSoftwareNokia4

   Crea la siguiente clave del registro

   • Clave: HKCUSoftwareNokia4

   Crea la siguiente clave del registro

   • Clave: HKLMSoftwareNokia4

3. Consulta la siguiente entrada del registro para eliminar los ficheros que haya en dicha ruta

   • Clave: HKLMSOFTWAREMcAfeeAVEngine 
     Valor: szInstallDir = [ruta]mcshield.exe

   Consulta la siguiente entrada del registro para ver qué servidor SMTP se está utilizando en el equipo

   • Clave: HKCUSoftwareMicrosoftInternet Account ManagerAccounts 
     Valor: SMTP Server =

   Consulta la siguiente entrada del registro para obtener el directorio de los Servicios de Información de Internet y Aplicaciones de Apache para propagarse por servidores de Internet

   • Clave: HKLMSOFTWAREApache Software FoundationApache[aplicación] 
     Valor: ServerRoot =

   Consulta la siguiente entrada del registro para eliminar los ficheros que haya en dicha ruta

   • Clave: HKLMSOFTWAREMalwarebytes' Anti-Malware 
     Valor: InstallPath = [ruta]*.*

   Consulta la siguiente entrada del registro para buscar la ubicación de la Libreta de Direcciones para recopilar direcciones de correo a las que autoenviarse

   • Clave: HKCUSoftwareMicrosoftwabwab4[nombre del fichero WAB]

   Consulta la siguiente entrada del registro para obtener el directorio de los Servicios de Información de Internet y Aplicaciones de Apache para propagarse por servidores de Internet

   • Clave: HKLMSOFTWAREMicrosoftInetStp 
     Valor: PathWWWRoot =

4. Crea la siguiente entrada del registro

   • Clave: HKLMSOFTWAREMicrosoft WindowsCurrentVersionpolicies system 
     Valor: EnableLUA = 0

   Crea la siguiente entrada del registro

   • Clave: HKLMSOFTWAREMicrosoft Security Center 
     Valor: UACDisableNotify = 1

   Crea la siguiente entrada del registro

   • Clave: HKCUSoftwareMicrosoft WindowsCurrentVersionExplorer 
     Valor: nok01 = [mes de ejecución]

   Crea la siguiente entrada del registro para ejecutarse automáticamente en cada reinicio del sistema

   • Clave: HKCUSoftwareMicrosoft WindowsCurrentVersionRun 
     Valor: Nokia Launch Application = %System%PCSuite.exe

   Crea la siguiente entrada del registro para evitar las restricciones del cortafuegos del Windows

   • Clave: HKLMSYSTEMCurrentControlSet ServicesSharedAccessParameters FirewallPolicyStandardProfileAuthorizedApplications List 
     Valor: %System%PCSuite.exe = %System%PCSuite.exe:*:Enabled:Explorer

   Crea la siguiente entrada del registro

5. Clave: HKCUSoftwareMicrosoft WindowsCurrentVersionExplorer 
   Valor: nok02 = [día de la ejecución]

Resto de acciones

1. Finaliza la ejecución de los siguientes procesos
2. Actúa como rootkitNota: Un ‘rootkit’ es una herramienta que sirve para ocultar actividades ilegítimas en el sistema y/o obtener privilegios para efectuar determinadas acciones.

Crea el siguiente mutex para impedir que se ejcute múltiples veces

• PCSuite.exe[caracteres aleatorios]

Nota: Un ‘mutex’ es un objeto utilizado para controlar el acceso a recursos -cualquier tipo de programas, aplicaciones, etc.- y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del código malicioso en memoria.

Contramedidas

Desinfección

• Si utiliza Windows Me , XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ´Restauración del Sistema´ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista .
• En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda veaDeshabilitar restauración del sistema en Vista, XP y Me . A continuación siga estos pasos para la eliminación del virus:
  1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos .
  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos Debido a que el virus intenta detener todos los antivirus y elimina algunos de ellos del ordenador, si los encuentra, es recomendable que, si usted tenía un antivirus de pago, vuelva a reinstalarlo.Elimine los siguientes ficheros:
     • %System%PCSuite.exe
     • %System%sta-css.exe
     • %System%sta-cpe.exe

     Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
     Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).

     Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

     Debido que el gusano se propaga por redes de compartición de ficheros, P2P, si tiene instalado alguno de los siguientes programas en su ordenador:

     • CD++
     • Kazaa
     • Frostwire
     • Icq
     • Grokster
     • eMule
     • Morpheus
     • LimeWire
     • Tesla
     • Winmx

     Elimine todos los ficheros que encuentre en las carpetas compartidas de estos programas, y que usted no haya creado. Este virus suele utilizar nombres de programas .EXE que existen realmente como programas antivirus, de edición de imágenes, para grabar CDs, etc.

  3. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
     En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/ Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña ‘Procesos’ pulse con el botón derecho en el proceso y seleccione ‘Terminar Proceso’. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección «Administrador de Tareas», de la página Eliminar librerías .DLL o .EXE .

  A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.Elimine las siguientes claves del registro y todo su contenido:

  Clave: HKCUSoftwareNokia4

  Clave: HKLMSOFTWAREMicrosoftNokia4

  Elimine las siguientes entradas del registro:

  Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionRun 
  Valor: Nokia Launch Application = %System%PCSuite.exe

  Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer
  Valor: nok01 = [mes de la ejecución]
  Valor: nok02 = [día de la ejecución]

  Clave: HKLMSOFTWAREMicrosoftSecurity Center
  Valor: UACDisableNotify = 1

  Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
  Valor: EnableLUA = 0
  4. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
  5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

Acceda a todos los dispositivos extraíbles que haya conectado recientemente al equipo y localice y elimine los siguientes ficheros:

• RECYCLERS-1-6-21-2434476521-1645641927-702000330-1542redmond.exe
• AUTORUN.INF

Por otro lado, como el virus se propga por correo electrónico, es posible que sus contactos hayan recibido algún correo con este virus, para evitar que sus contactos se queden infectados al abrir el archivo adjunto, comúniqueles que es probable que reciban un correo falso haciéndose pasar por una importante compañía pero que en realidad es un virus.