NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

w32/KilOnce: Gusano con payload destructivo que propaga a través de recursos compartidos de red

Nombre de virus: W32/KilOnce
Alias conocidos:
-
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)

Activación: Por ejecución de fichero infectado
Propagación: A través de recursos compartidos de red

Detección: desde DATS 4222
Motor necesario: desde 4.1.50

Infección actual: Inicial (Inicial, Media, Elevada)

 

W32/KilOnce es un gusano escrito en Delphi y empaquetado con UPX, que propaga a través de comparticiones de red, haciendo copias de sí mismo en directorios remotos.

Su ejecución genera una copia con el nombre KILLONCE.EXE , tanto en la carpeta Windows como en la Papelera de Reciclaje:

· %WinDir%\KILLONCE.EXE

· C:\Recycled\KILLONCE.EXE

Asimismo, modifica las siguientes claves del registro, para provocar la carga del gusano en cada reinicio del sistema:

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
       "KillOnce" = %WinDir%\KILLONCE.EXE

· HKEY_CLASSES_ROOT\exefile\shell\open\command
       "(Default)" = %WinDir%\KILLONCE.EXE "%1" %*

· HKEY_CLASSES_ROOT\txtfile\shell\open\command
       "(Default)" = C:\Recycled\KILLONCE.EXE C:\%WinDir%\NotePad.exe %1

 

El gusano añade la cuenta 'Guest' (Invitado) al grupo Administradores.

 Enumera comparticiones red, y si localiza comparticiones abiertas:

· Renombra REGEDIT.EXE a REGEDIT.EXE.SYS en el equipo remoto y le configura atributo de OCULTO. Luego se copia él mismo como REGEDIT.EXE.

· Busca el fichero RUNDLL32.EXE en el directorio Windows de equipos remotos. Si lo encuentra, lo renombra a RUN32.EXE y luego se copia el gusano como RUN32DLL.EXE. (Para equipos con Windows XP Pro, el fichero RUNDLL32.EXE se encuentra en WINDOWS\SYSTEM32, por lo que la rutina falla.)

· El gusano busca ficheros .DOC y .HTM. Si los encuentra, se copia en el mismo directorio como SHDOCVW.DLL (en el caso de ficheros HTM) o RICHED20.DLL (en el caso de ficheros DOC).

· Puede sobreescribir el contenido de ficheros .EML y .NWS con una copia del gusano codificada en formato base64.

Si el gusano se encuentra residente, detiene la ejecución y borra cualquier programa que contenga el nombre de fichero LOAD.EXE, o las las letras ‘AV’ o ‘KV’ dentro del nombre del fichero. Ello desactiva el antivirus residente.

El código de w32/KilOnce incluye un payload destructivo para el día 13 de Diciembre, de manera que añade una línea al fichero AUTOEXEC.BAT para provocar el borrado de todos los ficheros del sistema al reinicio del mismo.

Para proceder con su eliminación:

1.- Desconectar el equipo de la LAN (y no volver a conectarlo en red hasta que el resto de máquinas de la LAN estén limpias de virus).

2.- Ejecutar nuestra utilidad ELIKILON.EXE (está disponible en el área de ‘Descargas | Utilidades Satinfo’ en www.satinfo.es). De este modo se eliminará el proceso del virus de memoria, se corregiran las claves de registro modificadas y se restaurarán los ficheros Regedit.exe y Rundll32.exe originales.

Nota: Si se hubiera eliminado el virus sin haber corregido previamente el registro de sistema, no podría ejecutarse ningún fichero con extensión .EXE, en este caso, renombrar previamente la utilidad ELIKILON.EXE a ELIKILON.COM y ejecutar este último.

3.- Ejecutar la utilidad LIMPIA.EXE, o bien una exploración de VirusScan bajo Windows a todas las unidades locales, haciendo uso de los DAT y motor de exploración mínimos arriba indicados.

 

SATINFO, VIRUSCAN SPAIN SERVICE 16 de Septiembre de 2002

Anterior