Uno de los códigos maliciosos más propagados en República Dominicana es Win32/Sality, se trata de un virus polimórfico que roba información de la víctima, la almacena en un archivo para luego enviarla por correo electrónico al atacante. Se enfoca en robar principalmente nombres de usuarios, direcciones IP, versión del sistema operativo, lista de dispositivos que se conectan a la computadora y una lista con las direcciones visitadas por la víctima.
Los medios de propagación más clásicos como los dispositivos de almacenamiento son afectados de forma importante en República Dominicana. La amenaza INF/Autorun, ocupa el segundo puesto en las detecciones para el país. Esta detección genérica describe códigos maliciosos que modifican el archivo AUTORUN.INF para propagar la infección y se caracteriza por afectar principalmente sistemas operativos Windows XP.
Particularmente el gusano Win32/Conficker amenaza detectada desde 2008, que explota una vulnerabilidad en los servicios de los aún hoy sigue estando presente en el top de amenazas en República Dominicana. Dentro de las características está la posibilidad de conectarse a varios sitios web para descargar archivos y además permite el control remoto de la página infectada.
Otra amenaza informática con una participación importante en República Dominicana es Win32/Dorkbot. Esta amenaza se propaga utilizando dispositivos extraíbles y roba contraseñas de Facebook, Twitter, Gmail, Hotmail, de servidores FTP y además le permite al atacante seleccionar a qué bancos o servicios robar las credenciales de acceso desde los equipos infectados.
El troyano Win32/Sirefef tiene también una presencia importante en las detecciones de Republica Dominicana. Este código malicioso sirve cómo puerta trasera y además puede ser controlado de forma remota por el atacante. Puntualmente este troyano abre un puerto en el sistema de la víctima para entablar una conexión P2P con el atacante. Dentro de las acciones que realiza este código malicioso está la descarga de archivos de la máquina infectada, ejecutar archivos o parar procesos que se estén ejecutando.
Otro gusano, Win32/Brontok, que se propaga principalmente por correo electrónico o carpetas compartidas, afecta el rendimiento de los dispositivos infectados y realizar acciones molestas como el reinicio del equipo. Pero lo más delicado de este malware es que puede ser programado para realizar ataques de denegación de servicios a otros servidores.
Otras técnicas cómo la propagación utilizando intermediarios, que consiste en infectar servidores web vulnerables para inyectar código malicioso que redirige a los visitantes de la misma a otras dirección que contienen malware o que incluso puede infectar directamente descargando un código malicioso sin que el usuario lo perciba o autorice. Esta es una tendencia que desde el Laboratorio de ESET Latinoamérica consideramos tendrá su consolidación durante 2013. Relacionado a este tipo de técnicas se encuentran los códigos maliciosos HTML/ScrInject, HTML/IFrame y JS/TrojanDownloader.Iframe.
Comportamiento de los códigos maliciosos en República Dominicana
En República Dominicana a diferencia que en el resto de América Latina y el Caribe, la mayoría de detecciones en el último mes se centra en códigos maliciosos con los métodos de propagación más clásicos, a pesar que en los últimos meses presenta un comportamiento de decrecimiento: en el último mes disminuyó en un 12% el nivel de detecciones, siguiendo la tendencia que marcamos desde el laboratorio de ESET Latinoamérica en su informe de tendencias para 2013. Lo importante en este punto es que códigos maliciosos como INF/Autorun es una de las amenazas con mayores niveles de detección al país con más del 10%.
Mientras que en el resto de Latinoamérica y el Caribe las detecciones del tipo web vienen aumentando, en los últimos meses para República Dominicana se mantienen estables con fluctuaciones en los niveles de detección, de forma que entre los meses de agosto y septiembre del año pasado el porcentaje de detecciones se duplicó, manteniéndose constante durante octubre, y nuevamente entre los meses de noviembre y diciembre el aumento fue apenas cercano al 1%. Lo importante es que amenazas de este tipo tales cómo HTML/ScrInject, HTML/IFrame y JS/TrojanDownloader.Iframe figuran dentro de las principales detecciones.
Un código malicioso cómo Win32/Conficker, que es una amenaza que tiene bastante tiempo y que le ha causado bastantes dolores de cabeza a los administradores de redes en todo el mundo. En República Dominicana sigue teniendo un comportamiento creciente en cuanto a la cantidad de detecciones. De hecho, durante los últimos seis meses del año pasado la cantidad de detecciones fue creciente, incluso de Diciembre del año pasado a enero de este año el crecimiento fue de un poco más del 10%.
Las amenazas tipo botnet presentan un comportamiento también creciente en República Dominicana, como es el caso de Win32/Dorkbot, código malicioso que durante el 2012 ataco de forma importante a Latinoamérica más que al resto del mundo, tiene un comportamiento creciente en la cantidad de detecciones en República Dominicana: desde septiembre del año pasado las detecciones han aumentado en un 30%.
Los códigos maliciosos enfocados en robar información sensible de las computadoras, tienen igualmente un comportamiento creciente en las detecciones para Republica Dominicana. Win32/Sality uno de los códigos maliciosos con mayores niveles de detecciones ha tenido un crecimiento creciente en los últimos seis meses. De hecho desde julio del año pasado hasta lo que va corrido de enero las detecciones de este código malicioso han crecido en un poco más del 26%.
Fuente: Nota de Prensa
Quisiera aportar algunas soluciones a estos virus.
Para el Win32/Sality hago lo siguiente:
1) Desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus.
2) Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos.
3) Con un antivirus actualizado, localizar todas las copias del virus en el disco duro de su PC. Personalmente uso el KASPERSKY INTERNET SECURITY 2009, ya que otros antivirus no me dieron resultados.
Nota: A veces los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
4)Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, tenes que terminar manualmente el proceso en ejecución del virus.Usando el administrador de tares. A continuación volver a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus.
5) Debido a que el gusano deshabilita el acceso al editor del registro y al administrador de tareas, ejecuten los siguientes pasos para volver a habilitarlos:
ir a ‘Inicio -> Ejecutar’
Escribir «cmd» -sin las comillas-
Escribir las siguientes instrucciones:
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Hay que ser extremadamente cuidadoso al manipular el registro. Si modificas ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Eliminae las siguientes entradas del registro:
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Valor: GlobalUserOffline = 6684751
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system
Valor: EnableLUA = 6422625 (Desactiva el control de usuario en Windows Vista)
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\ StandardProfile\AuthorizedApplications\List
Valor: (Ruta del virus) = (ruta del virus):*:Enabled:ipsec
Clave: HKCU\Software\user914\1214104697
Valor: 1919251317 = 3276857
Clave: HKCU\Software\user914\1214104697
Valor: -456464662 = 3407926
Clave: HKCU\Software\user914\1214104697
Valor: 1462786655 = 3604530
Clave: HKCU\Software\user914\1214104697
Valor: -912929324 = 3735602
Clave: HKCU\Software\user914\1214104697
Valor: 1006321993 = 3342390
Clave: HKCU\Software\user914\1214104697
Valor: -1369393986=0600687474703A2F2F7777772E6D7573696B72616A742E736B2F6D61696
E662E67696600687474703A2F2F6D616365646F6E69612E6D79312E7275
2F6D61696E682E67696600687474703A2F2F6A7273782E6A7265
2E6E65742E636E2F6C6F676F732E67696600687474
Clave: HKCU\Software\user914\1214104697
Valor: 549857331 = 865E52A75BF33F5D5AA15DAFA722193EDDA8540E6C496C04CF49
2EF296AFD1AFD
EDBC79CEA25E0F6F53B2D9CC0FA963F3A4CC7456
15E85AFE1E18AEA7E620D11174F3892E84
B5B5DD288784938E304B2D65C454E833D6AF929
809110987E5B4B3E4D581071DA4948CB9F84
Clave: HKCU\Software\user914
Valor: u1_0 = 655360
Clave: HKCU\Software\user914
Valor: u2_0 = 655360
Clave: HKCU\Software\user914
Valor: u3_0 = 655360
Clave: HKCU\Software\user914
Valor: u4_0 = 655360
Clave: HKLM\Software\Microsoft\Tracing\FWCFG
Valor: EnableFileTracing = 7471188
Clave: HKLM\Software\Microsoft\Tracing\FWCFG
Valor: EnableConsoleTracing = 7471188
Clave: HKLM\Software\Microsoft\Tracing\FWCFG
Valor: FileTracingMask = 7209065
Clave: HKLM\Software\Microsoft\Tracing\FWCFG
Valor: ConsoleTracingMask = 7209065
Clave: HKLM\Software\Microsoft\Tracing\FWCFG
Valor: MaxFileSize = 7077993
Clave: HKLM\Software\Microsoft\Tracing\FWCFG
Valor: FileDirectory = %windir%\tracing
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
Valor: EnableFirewall = 7471209
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
Valor: DoNotAllowExceptions = 7340133
Clave: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Valor: Hidden = 4718592
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system
Valor: DisableTaskMgr = 6357076
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system
Valor: DisableRegistryTools = 7929970
Clave: HKLM\SOFTWARE\Microsoft\Security Center
Valor: AntiVirusOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center
Valor: AntiVirusDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center
Valor: FirewallDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center
Valor: FirewallOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center
Valor: UpdatesDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center
Valor: UacDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Valor: AntiVirusOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Valor: AntiVirusDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Valor: FirewallDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Valor: FirewallOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Valor: UpdatesDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Valor: UacDisableNotify = 5111909
6) Eliminar todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
7) Reiniciar el sistema y explorar todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivaste la restauración del sistema, recordá de volver a activarla. Creá un punto de restauración, te será útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.
PD: Es conveniente que pasen también un antispyware, yo uso del SPYWARE DR y el AD-AWARE. por si las moscas!! .
ESPERO QUE LES SEA DE UTILIDAD; SALUDOS Y BUENA SUERTE!!
Para eliminar el INF/Autorun, conecte una memoria usb a su equipo. Luego siga estos pasos:
1.- Descargue, Instale y/o actualice estos programas: (pero no los ejecute aun).
1-Malwarebytes’ Anti-Malware
2-CCleaner
3-UsbFix By Chiquitine29 -> ver manual
.2- Reiniciar e iniciar en «Modo a prueba de fallos» (modo seguro)
.3- Malwarebytes’ Antimalware (Ver Manual)
Actualizalo desde su pestaña Actualizar.
En su opción de Análisis Completo.
Al terminar presionas Mostrar Resultados.
Despues, verificas que todo este seleccionado y pulsas «Eliminar Seleccionados»
Cuando te indique aceptas el reinicio del sistema.
El reporte esta en la Pestaña Registros.
.4- Ccleaner (Ver Manual)
En su opcion «Limpiador» pulsas Ejecutar el Limpiador.
Luego usa su opción «Registro» pulsas Buscar Problemas, Despues Reparar Seleccionados y
Por ultimo Reparar todas las seleccionadas (haciendo copia de seguridad).
5- Ejecutar UsbFix By Chiquitine29.
Conecte todos sus dispositivos extraibles, Pendrive\Micro SD, etc.
Haga doble Click sobre USBFix
Seguido teclee la opción 3 – Supresión
Aparecerá una advertencia para que conecte sus Usb) (Dispositivos extraibles, Pendrive\Micro SD, etc.), pulse en Aceptar
Durante el análisis el escritorio puede desaparecer, esto es normal, si USBFix le pide reiniciar el sistema acepte y reinicie su equipo.
USBFix, genera un reporte, el cual se encuentra generalmente en C:\USBFix.txt
Nota: UsbFix creará una carpeta oculta llamada «$RECYCLE.BIN» «autorun.inf» en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta … eso le ayudará a proteger sus dispositivos USB de futuras infecciones.
.- Reinicia en Modo Normal y comprueba cómo funciona el sistema.
.- Realice un escaneo con Panda Active Scan 2.0 siguiendo su Manual de Panda ActiveScan 2.0 (NO interferirá con tu antivirus)es online.
http://support.microsoft.com/kb/962007/es En esta direccion hay suficiente informacion sobre el virus Win32/Conficker.
Win32/Sirefef es un troyano.
Para tratar de eliminarlo podemos hacer lo siguiente:
1.- Descarga, instala y/o actualiza las siguientes herramientas:
CCleaner // Manual de uso.
Malwarebytes’ Anti-Malware // Manual de uso.
Paso 2.-: Ejecuta CCleaner en sus 2 opciones (Limpiador y Registro) para hacer una limpieza de cookies, archivos temporales e innecesarios y registro de Windows, para mejorar el rendimiento de tu equipo y generar reportes mas limpios. (NO necesitamos este reporte)
Paso 3.- : Ejecuta Malwarebytes haz un examen completo, selecciona todo lo que este encuentre y luego presiona el botón de «Quitar lo Seleccionado» como se muestra en la imagen, para eliminar las infecciones. El reporte se guarda en la pestaña «Registros»
*Nota* Es importante que envíes a «Cuarentena» todo lo que este detecte antes de copiar y pegarnos su reporte.
Paso 4.- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.
Desactiva temporalmente el Antivirus y/o Antispyware
Si te pide actualizar «Aceptas».
Cierra todas las ventanas abiertas.
Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
*Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
*Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las «Negaciones de la Garantía» de ComboFix.
Reinicia y pega el reporte de C:\ComboFix.txt y trata de interpretar lo que dice.
Win32/Brontok ir a http://www.vsantivirus.com/faq-winxp.htm para limpiar este gusano-troyano en XP.