Agobot.AIX (Peligrosidad: 2 - Baja)

Agobot.AIX es es un gusano con funcionalidad de puerta trasera que se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles y explota las vulnerabilidades LSASS (MS04-011), el RPC-DCOM (MS04-012), proceso de la Librería ASN.1 (MS04-007), la del Servicio de Servidor (MS06-040), RealVNC (CVE-2006-2369) y Symantec (SYM06-010)

Su componente de puerta trasera se ejecuta permanentemente en segundo plano (background) para permitir el acceso no autorizado a los intrusos.

Modifica el archivo HOSTS para impedir el acceso a portales de ciertos antivirus para evitar sus actualizaciones.
Solución

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de 'Restauración del Sistema' para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Ayuda para utilizar la opción de Restauración en Windows XP.

Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar restauración del sistema en Windows Me o en Windows XP.

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero. Para más información consulte Eliminar librerías .DLL o .EXE.

4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Elimine las siguientes entradas del registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Default"= "%System\winins.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Default"= "%System\winins.exe"

5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Datos Técnicos
Peligrosidad: 2 - Baja Difusión: Baja Fecha de Alta:28-07-2007
Última Actualización:28-07-2007
Daño: Alto
[Explicación de los criterios] Dispersibilidad: Medio
Nombre completo: Worm-Backdoor.W32/Agobot.AIX@VULN
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [VULN] - Se difunde aprovechando alguna vulnerabilidad, tipicamente de servicios de red.
Alias:W32/Agobot.AIX (PerAntivirus)
Detalles
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Una vez ingresado el gusano se copia a la carpeta %System% con el nombre winins.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Default"= "%System\winins.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Default"= "%System\winins.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano rastrea en forma aletoria direcciones IP de redes de recursos compartidos, configuradas con contarseñas débiles, para intentar ingresar como "admin$", usando una extensa lista de nombres de usuarios y passwords.

También rastrea redes con vulnerabilidades LSASS (MS04-011), el RPC-DCOM (MS04-012), el proceso de la Librería ASN.1 (MS04-007), la del Servicio de Servidor (MS06-040), RealVNC (CVE-2006-2369) y Symantec (SYM06-010).

Luego se conecta a un canal de Chat pre-determinado desde donde recibirá instrucciones de intrusos tales como:

* Descargar y ejecutar archivos.
* Ejecutar re-direccionamiento de puertos.
* Activar un servidor Proxy.
* Activar un servidor FTP
* Capturar teclas digitadas.
* Agregar o borrar redes locales compartidas

Manipulando el archivo HOSTS bloquea el acceso a diversos sitios web relacionados a software antivirus, anteponíendoles el valos 127.0.0.1 para impedir sus actualizaciones:

* 127.0.0.1 www.symantec.com
* 127.0.0.1 securityresponse.symantec.com
* 127.0.0.1 downloads1.kaspersky-labs.com
* 127.0.0.1 downloads2.kaspersky-labs.com
* 127.0.0.1 downloads3.kaspersky-labs.com
* 127.0.0.1 downloads4.kaspersky-labs.com
* 127.0.0.1 downloads5.kaspersky-labs.com
* 127.0.0.1 symantec.com
* 127.0.0.1 www.sophos.com
* 127.0.0.1 sophos.com
* 127.0.0.1 www.mcafee.com
* 127.0.0.1 mcafee.com
* 127.0.0.1 liveupdate.symantecliveupdate.com
* 127.0.0.1 www.viruslist.com
* 127.0.0.1 viruslist.com
* 127.0.0.1 viruslist.com
* 127.0.0.1 f-secure.com
* 127.0.0.1 www.f-secure.com
* 127.0.0.1 kaspersky.com
* 127.0.0.1 www.avp.com
* 127.0.0.1 www.kaspersky.com
* 127.0.0.1 www.kaspersky-labs.com
* 127.0.0.1 avp.com
* 127.0.0.1 www.networkassociates.com
* 127.0.0.1 networkassociates.com
* 127.0.0.1 www.ca.com
* 127.0.0.1 ca.com
* 127.0.0.1 mast.mcafee.com
* 127.0.0.1 my-etrust.com
* 127.0.0.1 www.my-etrust.com
* 127.0.0.1 download.mcafee.com
* 127.0.0.1 dispatch.mcafee.com
* 127.0.0.1 secure.nai.com
* 127.0.0.1 nai.com
* 127.0.0.1 www.nai.com
* 127.0.0.1 update.symantec.com
* 127.0.0.1 updates.symantec.com
* 127.0.0.1 us.mcafee.com
* 127.0.0.1 liveupdate.symantec.com
* 127.0.0.1 customer.symantec.com
* 127.0.0.1 rads.mcafee.com
* 127.0.0.1 trendmicro.com
* 127.0.0.1 www.trendmicro.com

La información y/o parches para las vulnerabilidades descritas están contenidas en los siguientes enlaces:

* Microsoft Security Bulletin MS04-011
* Microsoft Security Bulletin MS04-012
* Microsoft Security Bulletin MS04-007
* Microsoft Security Bulletin MS06-040
* Secunia (2006-2369)
* Symantec (SYM06-010)
Más información acerca de este virus en:

* PerAntivirus

Fuente: http://alerta-antivirus.red.es