Brasil
Hola, creo que mi PC ha sido infectado por un virus llamado BRASIL, mi pregunta es saber si es peligroso, como eliminarlo y qué programa antivirus podría solucionar el problema.
GRACIAS...
GRACIAS...
2 respuestas
Respuesta de virmix
1
Respuesta de kuerti
1
El virus brasil (gusano, en realidad) es un residente en memoria, infecta el Master Boot Record (MBR). Infecta el sector de boot de disquetes y el MBR de los discos duros. Brasil es un virus de ocultamiento, empleando técnicas que redireccionan la lectura del MBR y sector de boot de disquetes cuando el virus está residente en memoria.
Después de la infección, el virus Brasil queda residente en memoria, al principio del sistema de memoria, pero bajo el limite de 640K. Este mueve la interrupción 12. Al mismo tiempo, infecta el MBR del disco duro.
Una vez que está residente en memoria, este infecta el sector de boot de cualquier disquete no protegido que sea accedido por el sistema.
En disquetes de 360K 5.25", el virus escribe un sector del código viral al sector 10, y copia el sector original al sector 11. Entonces el virus escribe el sector boot original al sector 0.
En disquetes de 1.2M 5.25", el virus escribe un sector del código viral al sector 27, y copia el sector boot original al sector 28. Entonces el virus escribe el sector boot original al sector 0.
En un disco duro, el virus escribe un sector del código viral al "Side 0, Cylinder 0, Sector 2", y copia el sector original al "Side 0, Cylinder 0, Sector 3". Entonces el virus escribe el sector "Side 0, Cylinder 0, Sector 1".
Síntomas
El virus Quick fue enviado en Octubre de 1992. Quick es un residente en memoria que infecta el sector de boot de disquetes y el master boot sector (partition table) de los discos duros. Quick es un virus de ocultamiento, empleando técnicas para redireccionar los intentos de lectura del master boot sector y sector de boot de disquetes cuando el virus está residente en memoria. La primera vez el sistema es iniciado con un disquete infectado con Quick, Quick se instalará en memoria bajo el límite de 640Kb, y cambia la interrupción 12. La memoria total y disponible del sistema decrecerán en 1024 bytes al revisarlas con el utilitario CHKDSK. Al mismo tiempo, el virus will infectará el master boot sector del disco duro, si este no ha sido infectado. Una vez que el virus Quick está residente en memoria, infectará el sector de boot de cualquier disqute no protegido que sea accedido por el sistema. En disquetes de 360K 5.25", el virus escribirá un sector del código viral al sector 10, y copia el sector original al sector 11. Entonces el virus escribe el sector boot original al sector 0. En disquetes de 1.2M 5.25", el virus escribe un sector del código viral al sector 27, y copia el sector boot original al sector 28. Entonces el virus escribe el sector boot original al sector 0. En un disco duro, el virus escribirá un sector de código viral al "Side 0, Cylinder 0, Sector 2", y copiara el master boot sector original al "Side 0, Cylinder 0, Sector 3". El virus escribirá the master boot sector al "Side 0, Cylinder 0, Sector 1". El virus no contiene ninguna cadena de texto en el código viral, y ha sido nombrado debido a la habilidad para esparcirse rápidamente a disquetes sin ser detectado. Una vez que el virus escribe los dos últimos sectores del directorio raíz en disquetes, las entradas originales se perderán.
Método de Infección
El virus no contiene ninguna cadena de texto con el código viral. Una vez que el virus escribe los dos últimos sectores del directorio raíz en disquetes, las entradas originales se perderán. La memoria total del sistema y la disponible se reducirán en 1024 bytes.
Instrucciones de Remoción
La única manera de infectar un computador con un virus de "MBR/Boot Sector" es intentar iniciar el sistema con un disquete infectado. El sector de boot del disquete tiene el código para determinar si el disquete es booteable, y muestra el mensaje "Non-system disk or disk error". Este es el código que alberga la infección. Cuando se muestra el mensaje "non-system disk error", la infección ya ocurrió. Una vez que el virus sea ejecutado, este infectará el MBR del disco duro y quedara residente. En cada inicio posterior, el virus se cargará en memoria e intentará infectar disquetes accedidos por el computador
Sólo para Usuarios de Windows ME :
Nota: Windows ME utiliza una utilidad de Backup que respalda archivos seleccionados automáticamente en C:\directorio_respaldo. Este permite que un archivo infectado pueda ser almacenado en un archivo de respaldo, y VirusScan estará incapacitado para detectar estos archivos. Estas instrucciones explican como remover los archivos infectados en C:\Directorio_respaldo:
Deshabilitando la utilidad de Recuperación
1. Hacer clic derecho sobre el icono Mi PC en el escritorio y elegir propiedades
2. Hacer clic en la viñeta de Rendimiento
3. Hacer clic en el botón de Archivos del sistema
4. Hacer clic en la opción Resolver problemas
5. Marcar la opción "Deshabilitar Sistema de restauración"
6. Hacer clic en el botón aplicar
7. Hacer clic en el botón Cerrar
8. Hacer clic en el botón Cerrar, nuevamente
9. El sistema indicará que se debe reiniciar el PC. Debe presionar "Aceptar"
Nota: La utilidad de restauración estará habilitada.
10. Reiniciar el PC en "modo a prueba de fallos"
11. Ejecutar un Escaneo con VirusScan para detectar todos los archivos infectados, o localizar los archivos en c:\Directorio_respaldo y eliminarlos.
12. Después de remover los archivos indicados, reiniciar el PC normalmente.
Nota: Al habilitar nuevamente la utilidad de Restauración, seguir los pasos 1-9 y en el paso 5 desmarcar la opción "Habilitar el sistema de restauración". Los archivos infectados están eliminados y el sistema de restauración esta otra vez activo.
Pero también puede ser un alias brasil, el W32/Opasoft.E (Silbra). Variante con el nombre de BRASIL
http://www.vsantivirus.com/opasoft-e.htm
Nombre: W32/Opasoft.E (Silbra)
Tipo: Gusano de Internet
Alias: Win32.Opaserv.E, Win32/Opaserv.E.Worm, WORM_OPASERV.E, W32/Opaserv.E, W32/Silbra, W32/Opaserv-C
Fecha: 19/oct/02
Tamaño: 24,064 bytes
Plataforma: Windows 32-bits
Opasoft. E es similar en sus funciones a Opasoft.A, y se propaga a través de los recursos compartidos con acceso permitido (unidad C). Se aprovecha de una vulnerabilidad que permite el acceso remoto aún sin conocer la contraseña, en caso de tenerla.
No posee rutinas destructivas.
Diferencias de la versión 'E':
Esta versión ha sido comprimida con la utilidad UPX file packing, y encriptada con la herramienta PCPEC utility, con lo que cambia su tamaño y su apariencia.
Cuando esta versión del gusano detecta una unidad accesible, copia el archivo BRASIL. PIF en el directorio de Windows:
C:\Windows\BRASIL.PIF
En ocasiones también podría copiarse como:
C:\Windows\BRASIL.EXE
Luego copia el archivo WIN.INI de la unidad remota en el disco local como C:\PUT.INI.
Agrega luego la siguiente entrada en la sección [windows] del archivo PUT.INI:
run = C:\Windows\BRASIL.PIF
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).
Luego, copia el contenido de PUT.INI en WIN.INI de la máquina remota. Esto permite que el archivo BRASIL. PIF se ejecute al reiniciarse la computadora remota.
Esta versión del gusano se intenta conectar al sitio www.n[xxx]t.com.br para actualizarse automáticamente (las 'xxx' se han puesto por protección, aunque actualmente dicho sitio ha sido dado de baja).
Luego, libera los siguientes archivos:
C:\BRASIL.DAT
C:\BRASIL!.DAT
El gusano utiliza la información de estos archivos para su conexión al mencionado sitio.
Dentro del código del gusano (no visible por estar encriptado), se lee el siguiente texto:
[OpaSoft Crypted By AlevirusSCS! ]
Cuando se ejecuta por primera vez (una máquina que ha sido infectada por el método anteriormente descripto, al reiniciarse ejecuta el archivo BRASIL. PIF), el gusano desencripta su código y se copia a si mismo en el directorio de Windows:
C:\Windows\BRASIL.PIF
Luego, sigue ejecutándose desde esta copia, y elimina el archivo anterior desde donde fue ejecutado.
Para asegurar sus siguientes ejecuciones en cada reinicio de Windows, el gusano agrega la siguiente clave al registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Brasil = C:\Windows\BRASIL.PIF
Recuerde que en algunos casos, en donde se menciona BRASIL. PIF puede ser BRASIL.EXE.
Otros cambios en esta versión, está en las siguientes cadenas de su código:
"ScrSvr" y "ScrSin" cambiado por "Brasil"
"ScrSout" cambiado por "Brasil!"
"scrupd" cambiado por "puta!!"
"www.opasoft.com" cambiado por "www.n[xxx]t.com.br"
Forma de propagación
Este gusano posee la capacidad de propagarse a través de recursos compartidos en redes de computadoras usando el puerto 139 (Netbios, NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos.
Para estas acciones, el gusano hace uso del protocolo de comunicación llamado SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS-Windows para acceder a los recursos compartidos de una red, a través del puerto 139 (NetBeui en sistemas Microsoft Windows).
Para acceder a estos recursos, el gusano se aprovecha de una vulnerabilidad conocida desde hace mucho tiempo, respecto a la forma en que Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña.
La corrección para esta falla en esos sistemas operativos, está disponible desde octubre de 2000 (http://www.microsoft.com/technet/security/bulletin/ms00-072.asp).
Todos los usuarios que utilicen la opción de compartir archivos e impresoras con Windows 95, 98, 98 SE y Me, deben descargar e instalar el parche desde dicho enlace.
Desde que la falla fue revelada, existen códigos que explotan esta vulnerabilidad, pero Opasoft es el primer gusano que se aprovecha realmente de la misma.
Esta falla no afecta ni a Windows NT, ni 2000 ni XP. Adicionalmente, en las versiones vulnerables de Windows solo pueden verse afectados recursos compartidos con el mismo nivel de acceso permitido (dominio), y en Windows 95, 98, 98 SE y Me, solo existe el nivel de usuario.
Los primeros reportes de Opasoft sugerían que podía propagarse a través de recursos abiertos (sin contraseñas), y para evitar su propagación se aconsejaba no mantener estos configurados sin autenticación mediante contraseñas. Esto es incorrecto. Opasoft se propaga explotando la vulnerabilidad mencionada, intentando específicamente copiarse al recurso "C", que es el nombre por defecto para el raíz de la unidad de disco "C:", siempre que tenga el acceso de lectura y escritura habilitados, o también a través de direcciones IP seleccionadas al azar.
No corregir esta vulnerabilidad, hace que todo procedimiento de desinfección sea inútil, ya que una computadora volvería a infectarse al conectarse a una red o a Internet.
La presencia de un cortafuegos que bloquee el acceso mediante Netbios, también impide la propagación del gusano (como ZoneAlarm a nivel doméstico, por ejemplo).
El hecho que el servidor desde donde el gusano podría actualizarse mediante la descarga de un archivo, haya sido dado de baja, hace que el único riesgo que este gusano presenta por el momento, es el de su propagación.
Las instrucciones para remover este gusano son las mismas que para el Opasoft.A: http://www.vsantivirus.com/opasoft-a.htm
Más información:
W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm
W32/Opasoft.B. Variante del Opasoft.A en la calle
http://www.vsantivirus.com/opasoft-b.htm
W32/Opasoft.D. Nueva variante y cómo se propaga
http://www.vsantivirus.com/opasoft-d.htm
El ISC advierte sobre aumentos de escaneos al puerto 137
http://www.vsantivirus.com/30-09-02.htm
Curiosidades del puerto 137
http://www.vsantivirus.com/p137.htm
Que te sea leve, no te olvides de puntuar la respuesta.
Después de la infección, el virus Brasil queda residente en memoria, al principio del sistema de memoria, pero bajo el limite de 640K. Este mueve la interrupción 12. Al mismo tiempo, infecta el MBR del disco duro.
Una vez que está residente en memoria, este infecta el sector de boot de cualquier disquete no protegido que sea accedido por el sistema.
En disquetes de 360K 5.25", el virus escribe un sector del código viral al sector 10, y copia el sector original al sector 11. Entonces el virus escribe el sector boot original al sector 0.
En disquetes de 1.2M 5.25", el virus escribe un sector del código viral al sector 27, y copia el sector boot original al sector 28. Entonces el virus escribe el sector boot original al sector 0.
En un disco duro, el virus escribe un sector del código viral al "Side 0, Cylinder 0, Sector 2", y copia el sector original al "Side 0, Cylinder 0, Sector 3". Entonces el virus escribe el sector "Side 0, Cylinder 0, Sector 1".
Síntomas
El virus Quick fue enviado en Octubre de 1992. Quick es un residente en memoria que infecta el sector de boot de disquetes y el master boot sector (partition table) de los discos duros. Quick es un virus de ocultamiento, empleando técnicas para redireccionar los intentos de lectura del master boot sector y sector de boot de disquetes cuando el virus está residente en memoria. La primera vez el sistema es iniciado con un disquete infectado con Quick, Quick se instalará en memoria bajo el límite de 640Kb, y cambia la interrupción 12. La memoria total y disponible del sistema decrecerán en 1024 bytes al revisarlas con el utilitario CHKDSK. Al mismo tiempo, el virus will infectará el master boot sector del disco duro, si este no ha sido infectado. Una vez que el virus Quick está residente en memoria, infectará el sector de boot de cualquier disqute no protegido que sea accedido por el sistema. En disquetes de 360K 5.25", el virus escribirá un sector del código viral al sector 10, y copia el sector original al sector 11. Entonces el virus escribe el sector boot original al sector 0. En disquetes de 1.2M 5.25", el virus escribe un sector del código viral al sector 27, y copia el sector boot original al sector 28. Entonces el virus escribe el sector boot original al sector 0. En un disco duro, el virus escribirá un sector de código viral al "Side 0, Cylinder 0, Sector 2", y copiara el master boot sector original al "Side 0, Cylinder 0, Sector 3". El virus escribirá the master boot sector al "Side 0, Cylinder 0, Sector 1". El virus no contiene ninguna cadena de texto en el código viral, y ha sido nombrado debido a la habilidad para esparcirse rápidamente a disquetes sin ser detectado. Una vez que el virus escribe los dos últimos sectores del directorio raíz en disquetes, las entradas originales se perderán.
Método de Infección
El virus no contiene ninguna cadena de texto con el código viral. Una vez que el virus escribe los dos últimos sectores del directorio raíz en disquetes, las entradas originales se perderán. La memoria total del sistema y la disponible se reducirán en 1024 bytes.
Instrucciones de Remoción
La única manera de infectar un computador con un virus de "MBR/Boot Sector" es intentar iniciar el sistema con un disquete infectado. El sector de boot del disquete tiene el código para determinar si el disquete es booteable, y muestra el mensaje "Non-system disk or disk error". Este es el código que alberga la infección. Cuando se muestra el mensaje "non-system disk error", la infección ya ocurrió. Una vez que el virus sea ejecutado, este infectará el MBR del disco duro y quedara residente. En cada inicio posterior, el virus se cargará en memoria e intentará infectar disquetes accedidos por el computador
Sólo para Usuarios de Windows ME :
Nota: Windows ME utiliza una utilidad de Backup que respalda archivos seleccionados automáticamente en C:\directorio_respaldo. Este permite que un archivo infectado pueda ser almacenado en un archivo de respaldo, y VirusScan estará incapacitado para detectar estos archivos. Estas instrucciones explican como remover los archivos infectados en C:\Directorio_respaldo:
Deshabilitando la utilidad de Recuperación
1. Hacer clic derecho sobre el icono Mi PC en el escritorio y elegir propiedades
2. Hacer clic en la viñeta de Rendimiento
3. Hacer clic en el botón de Archivos del sistema
4. Hacer clic en la opción Resolver problemas
5. Marcar la opción "Deshabilitar Sistema de restauración"
6. Hacer clic en el botón aplicar
7. Hacer clic en el botón Cerrar
8. Hacer clic en el botón Cerrar, nuevamente
9. El sistema indicará que se debe reiniciar el PC. Debe presionar "Aceptar"
Nota: La utilidad de restauración estará habilitada.
10. Reiniciar el PC en "modo a prueba de fallos"
11. Ejecutar un Escaneo con VirusScan para detectar todos los archivos infectados, o localizar los archivos en c:\Directorio_respaldo y eliminarlos.
12. Después de remover los archivos indicados, reiniciar el PC normalmente.
Nota: Al habilitar nuevamente la utilidad de Restauración, seguir los pasos 1-9 y en el paso 5 desmarcar la opción "Habilitar el sistema de restauración". Los archivos infectados están eliminados y el sistema de restauración esta otra vez activo.
Pero también puede ser un alias brasil, el W32/Opasoft.E (Silbra). Variante con el nombre de BRASIL
http://www.vsantivirus.com/opasoft-e.htm
Nombre: W32/Opasoft.E (Silbra)
Tipo: Gusano de Internet
Alias: Win32.Opaserv.E, Win32/Opaserv.E.Worm, WORM_OPASERV.E, W32/Opaserv.E, W32/Silbra, W32/Opaserv-C
Fecha: 19/oct/02
Tamaño: 24,064 bytes
Plataforma: Windows 32-bits
Opasoft. E es similar en sus funciones a Opasoft.A, y se propaga a través de los recursos compartidos con acceso permitido (unidad C). Se aprovecha de una vulnerabilidad que permite el acceso remoto aún sin conocer la contraseña, en caso de tenerla.
No posee rutinas destructivas.
Diferencias de la versión 'E':
Esta versión ha sido comprimida con la utilidad UPX file packing, y encriptada con la herramienta PCPEC utility, con lo que cambia su tamaño y su apariencia.
Cuando esta versión del gusano detecta una unidad accesible, copia el archivo BRASIL. PIF en el directorio de Windows:
C:\Windows\BRASIL.PIF
En ocasiones también podría copiarse como:
C:\Windows\BRASIL.EXE
Luego copia el archivo WIN.INI de la unidad remota en el disco local como C:\PUT.INI.
Agrega luego la siguiente entrada en la sección [windows] del archivo PUT.INI:
run = C:\Windows\BRASIL.PIF
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).
Luego, copia el contenido de PUT.INI en WIN.INI de la máquina remota. Esto permite que el archivo BRASIL. PIF se ejecute al reiniciarse la computadora remota.
Esta versión del gusano se intenta conectar al sitio www.n[xxx]t.com.br para actualizarse automáticamente (las 'xxx' se han puesto por protección, aunque actualmente dicho sitio ha sido dado de baja).
Luego, libera los siguientes archivos:
C:\BRASIL.DAT
C:\BRASIL!.DAT
El gusano utiliza la información de estos archivos para su conexión al mencionado sitio.
Dentro del código del gusano (no visible por estar encriptado), se lee el siguiente texto:
[OpaSoft Crypted By AlevirusSCS! ]
Cuando se ejecuta por primera vez (una máquina que ha sido infectada por el método anteriormente descripto, al reiniciarse ejecuta el archivo BRASIL. PIF), el gusano desencripta su código y se copia a si mismo en el directorio de Windows:
C:\Windows\BRASIL.PIF
Luego, sigue ejecutándose desde esta copia, y elimina el archivo anterior desde donde fue ejecutado.
Para asegurar sus siguientes ejecuciones en cada reinicio de Windows, el gusano agrega la siguiente clave al registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Brasil = C:\Windows\BRASIL.PIF
Recuerde que en algunos casos, en donde se menciona BRASIL. PIF puede ser BRASIL.EXE.
Otros cambios en esta versión, está en las siguientes cadenas de su código:
"ScrSvr" y "ScrSin" cambiado por "Brasil"
"ScrSout" cambiado por "Brasil!"
"scrupd" cambiado por "puta!!"
"www.opasoft.com" cambiado por "www.n[xxx]t.com.br"
Forma de propagación
Este gusano posee la capacidad de propagarse a través de recursos compartidos en redes de computadoras usando el puerto 139 (Netbios, NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos.
Para estas acciones, el gusano hace uso del protocolo de comunicación llamado SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS-Windows para acceder a los recursos compartidos de una red, a través del puerto 139 (NetBeui en sistemas Microsoft Windows).
Para acceder a estos recursos, el gusano se aprovecha de una vulnerabilidad conocida desde hace mucho tiempo, respecto a la forma en que Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña.
La corrección para esta falla en esos sistemas operativos, está disponible desde octubre de 2000 (http://www.microsoft.com/technet/security/bulletin/ms00-072.asp).
Todos los usuarios que utilicen la opción de compartir archivos e impresoras con Windows 95, 98, 98 SE y Me, deben descargar e instalar el parche desde dicho enlace.
Desde que la falla fue revelada, existen códigos que explotan esta vulnerabilidad, pero Opasoft es el primer gusano que se aprovecha realmente de la misma.
Esta falla no afecta ni a Windows NT, ni 2000 ni XP. Adicionalmente, en las versiones vulnerables de Windows solo pueden verse afectados recursos compartidos con el mismo nivel de acceso permitido (dominio), y en Windows 95, 98, 98 SE y Me, solo existe el nivel de usuario.
Los primeros reportes de Opasoft sugerían que podía propagarse a través de recursos abiertos (sin contraseñas), y para evitar su propagación se aconsejaba no mantener estos configurados sin autenticación mediante contraseñas. Esto es incorrecto. Opasoft se propaga explotando la vulnerabilidad mencionada, intentando específicamente copiarse al recurso "C", que es el nombre por defecto para el raíz de la unidad de disco "C:", siempre que tenga el acceso de lectura y escritura habilitados, o también a través de direcciones IP seleccionadas al azar.
No corregir esta vulnerabilidad, hace que todo procedimiento de desinfección sea inútil, ya que una computadora volvería a infectarse al conectarse a una red o a Internet.
La presencia de un cortafuegos que bloquee el acceso mediante Netbios, también impide la propagación del gusano (como ZoneAlarm a nivel doméstico, por ejemplo).
El hecho que el servidor desde donde el gusano podría actualizarse mediante la descarga de un archivo, haya sido dado de baja, hace que el único riesgo que este gusano presenta por el momento, es el de su propagación.
Las instrucciones para remover este gusano son las mismas que para el Opasoft.A: http://www.vsantivirus.com/opasoft-a.htm
Más información:
W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm
W32/Opasoft.B. Variante del Opasoft.A en la calle
http://www.vsantivirus.com/opasoft-b.htm
W32/Opasoft.D. Nueva variante y cómo se propaga
http://www.vsantivirus.com/opasoft-d.htm
El ISC advierte sobre aumentos de escaneos al puerto 137
http://www.vsantivirus.com/30-09-02.htm
Curiosidades del puerto 137
http://www.vsantivirus.com/p137.htm
Que te sea leve, no te olvides de puntuar la respuesta.