Instrucciones de eliminación de Shadowbot

Instrucciones para localizar y eliminar el programa nocivo de la red zombi Shadow

Por: Vitaly Kamluk, Kaspersky Lab
Fecha: 06.08.2008
MD5 de la muestra analizada: 9e2ef49e84bc16c95b8fe21f4c0fe41e

Cómo localizar el programa nocivo utilizando un programa de seguridad

Kaspersky Anti-Virus detecta el malware que compromete a los ordenadores para que formen parte de la red zombi Shadow desde el 30 de enero de 2008. Los nombres de detección pueden variar según la versión del programa malicioso. Nosotros lo detectamos bajo los siguientes nombres:

  • Backdoor.Win32.IRCBot.bit
  • Backdoor.Win32.IRCBot.biy
  • Backdoor.Win32.IRCBot.bjd
  • Backdoor.Win32.IRCBot.bjh
  • Backdoor.Win32.IRCBot.cja
  • Backdoor.Win32.IRCBot.cjj
  • Backdoor.Win32.IRCBot.ckq
  • Backdoor.Win32.IRCBot.cow
  • Backdoor.Win32.IRCBot.czt
  • Backdoor.Win32.IRCBot.ekz
  • Rootkit.Win32.Agent.aet
  • Trojan-Downloader.Win32.Injecter.pj
  • Trojan.Win32.DNSChanger.azo
  • Trojan.Win32.DNSChanger.bao
  • Trojan.Win32.DNSChanger.bck
  • Trojan.Win32.DNSChanger.bfo
  • Trojan.Win32.DNSChanger.bjh
  • Trojan.Win32.DNSChanger.bji
  • Trojan.Win32.DNSChanger.bjj
  • Trojan.Win32.DNSChanger.bmj
  • Trojan.Win32.DNSChanger.bnw
  • Trojan.Win32.DNSChanger.bqk
  • Trojan.Win32.DNSChanger.bsm
  • Trojan.Win32.DNSChanger.buu
  • Trojan.Win32.DNSChanger.bwi
  • Trojan.Win32.DNSChanger.bxd
  • Trojan.Win32.DNSChanger.bxe
  • Trojan.Win32.DNSChanger.bxv
  • Trojan.Win32.DNSChanger.cap
  • Trojan.Win32.DNSChanger.ccg
  • Trojan.Win32.DNSChanger.cei
  • Trojan.Win32.DNSChanger.cem
  • Trojan.Win32.DNSChanger.eag
  • Trojan.Win32.DNSChanger.gvb
  • Trojan.Win32.Restarter.e
  • Trojan.Win32.Restarter.f
  • Trojan.Win32.Restarter.g
  • Trojan.Win32.Restarter.h

    El 6 de agosto de 2008 comenzamos a detectar la muestra actual como Trojan.Win32.DNSChanger.gvb.

    Cómo localizar el programa nocivo de forma manual

    Como el zombi no copia su cuerpo en el sistema, el nombre del archivo puede variar. El nombre del archivo nocivo depende del instalador que se usó para infectar el sistema. Se puede buscar el archivo dañino en los registros del sistema.

    Los usuarios pueden revisar el registro del sistema ejecutando regedit.exe y verificar el siguiente valor de registro:

    HKEY_CLASSES_ROOT\.htc\Content Type

    Los administradores de redes grandes pueden hacer esto de forma remota utilizando el comando reg.exe como se muestra abajo:

    El valor de registro predeterminado (de Windows XP Pro SP2) para HKEY_CLASSES_ROOT\.htc\Content Type es “text/x-component”. Si el registro tiene algún valor distinto, como “{space}”, puede que el ordenador esté infectado con el programa nocivo de la red zombi Shadow.

    También se puede revisar otra rama del regitro que permite al zombi crear conexiones de red externas cambiando las reglas del cortafuegos de Windows:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\

    El zombi agrega un nombre a la lista de aplicaciones autorizadas. Aunque puede hacerse pasar por un archivo Flash como en el ejemplo de abajo, el nombre puede variar.

    Esto permite encontrar la ubicación exacta del archivo malicioso en el sistema infectado. La dirección del archivo malicioso también se puede encontrar en el valor de registro

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit. El zombi agrega la ruta a su archivo userinit.exe legítimo, como se muestra abajo:

    El nombre del archivo y su ubicación pueden variar.

    El administrador de las redes puede ubicar los ordenadores infectados en la red local revisando las conexiones de redes externas a elena.ccpower.ru en el puerto 3306, o usando un método de detección sin direcciones ni puertos que busque patrones como los siguientes:

    Cómo eliminar el programa nocivo de forma manual

    El zombi parchea el proceso winlogon.exe en la memoria. Esto le da al código nocivo los privilegios del sistema local y evita que se elimine el archivo malicioso original. También restablece la configuración del registro con frecuencia para impedir que se la modifique. El winlogon.exe parcheado reinicia el proceso malicioso cuando este no se está ejecutando.

    Una vez que se haya identificado el archivo ejecutable malicioso, hay que seguir las instrucciones de abajo para eliminar el programa nocivo y restaurar la configuración del sistema:

    1. No permitir que el usuario actual acceda al archivo malicioso. Para ello, ingresar al archivo usando Windows Explorer.

    Asegurarse de haber desactivado "Utilizar uso compartido simple de archivos" (para usuarios de NTFS) en Windows Explorer (para acceder a esta opción ir a Windows Explorer, ingresa al menú de Windows-> Herramientas-> Opciones de Carpeta -> Ver)

    Pulsar el botón derecho del ratón sobre el archivo malicioso y seleccionar “Propiedades”:

    Abrir la pestaña “Seguridad” y ajustar el control de acceso del archivo. Hay que agregar el usuario actual a la lista “Grupos o nombres de usuarios”:

    Pulsar en el botón “Agregar” e ingresar el nombre de usuario actual. Seleccionar todas las casillas de la columna “Denegar” para el usuario actual.

    2. Reiniciar el sistema.

    3. Volver a ingresar al lugar donde está el archivo malicioso. Ahora podrás eliminarlo.

    4. Ejecutar regedit.exe y recuperar los valores predeterminados del sistema. Los valores pueden variar dependiendo del tipo de instalación del sistema de tu ordenador. Estos son los más comunes (llave=valor):

    “HKCR\.htc\Content Type” = "text/x-component" “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit” = “C:\WINDOWS\system32\userinit.exe”

    5. Elimina los siguientes valores:

    “HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Flash Media” “HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\”

    6. Actualizar la base de datos delantivirus para que realice una revisión completa de tu ordenador (aquí se puede descargar la versión de prueba de Kaspersky Anti-Virus).