Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Email-Worm
Email-Worms esparcidos por correo electrónico. El gusano envía una copia de sí mismo como un archivo adjunto a un mensaje de correo electrónico o un enlace a su archivo en un recurso de red (por ejemplo, una URL a un archivo infectado en un sitio web comprometido o un sitio web propiedad de hackers). En el primer caso, el código del gusano se activa cuando se abre (inicia) el archivo adjunto infectado. En el segundo caso, el código se activa cuando se abre el enlace al archivo infectado. En ambos casos, el resultado es el mismo: el código del gusano está activado. Email-Worms utiliza una variedad de métodos para enviar correos electrónicos infectados. Los más comunes son: el uso de una conexión directa a un servidor SMTP utilizando el directorio de correo electrónico integrado en el código del gusano utilizando los servicios de MS Outlook utilizando las funciones de Windows MAPI. Email-Worms utiliza varias fuentes diferentes para encontrar las direcciones de correo electrónico a las que se enviarán los correos electrónicos infectados: la libreta de direcciones en MS Outlook una base de datos WAB. Archivos .txt almacenados en el disco duro: el gusano puede identificar qué cadenas en los archivos de texto son direcciones de correo electrónico correos electrónicos en la bandeja de entrada (algunos Email-Worms incluso "responden" a los correos electrónicos que se encuentran en la bandeja de entrada) Muchos Email-Worms usan más de una de las fuentes mencionadas anteriormente. También hay otras fuentes de direcciones de correo electrónico, como libretas de direcciones asociadas con servicios de correo electrónico basados en la web.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Descripción
Detalles técnicos
Este es un gusano de virus que se propaga bajo los sistemas Win32. El virus infecta archivos ejecutables de Win32, intenta enviar mensajes de correo electrónico con archivos adjuntos infectados, así como instala un componente de puerta trasera para descargar y generar "complementos" en un sistema afectado. El gusano causó una epidemia global de septiembre a octubre de 2000.
El virus tiene una estructura inusual. Consta de tres componentes diferentes que se ejecutan como programas independientes (Virus, Gusano de correo electrónico y Puerta trasera). El virus es el componente principal y mantiene los programas de gusanos y puerta trasera en su código en forma comprimida. Al infectar el sistema, el virus los extrae y los engendra:
Estructura del virus
� =============== - � El virus � -> instala Worm y Backdoor en el sistema, � instalación � luego encuentra e infecta los archivos ejecutables Win32 � e infección � � rutinas � � --------------- � � El código del gusano � -> se extrae al archivo y se ejecuta como un programa independiente � (comprimido) � � --------------- � � El código de puerta trasera � -> se extrae al archivo y se ejecuta como un programa independiente � (comprime) � L =============== -
Archivo EXE infectado
� =============== - � Código de archivo � � y datos � � � � =============== � � Código de virus: � � --------------- � �� Instalación�� ��y infección�� � + ------------- + � �� Gusano �� � + ------------- + � �� Puerta trasera �� �L -------------- � L =============== -
El código del gusano no contiene todas las rutinas necesarias para infectar el sistema, que se envía como adjunto en un mensaje de correo electrónico infectado (ver a continuación). El gusano necesita "ayuda" del componente del virus y se envía como infectado por el virus (el virus infecta el archivo del gusano como un archivo común y luego se envía). La razón de tal método no está clara, pero probablemente los componentes fueron escritos por diferentes personas.
El componente Virus contiene las cadenas de texto:
SABI�.b ViRuS
Software proporcionado por [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: Todos los tipos VX en #virus y Vecna por ayudarnos
Visitanos en:
http://www.coderz.net/matrix
El componente del gusano contiene las cadenas de texto:
Software proporcionado por el equipo [MATRiX] VX:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Todo el tipo VX en el canal de virus y Vecna
Visítanos: www.coderz.net/matrix
La puerta trasera contiene el texto:
Software proporcionado por el equipo [MATRiX]:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 códigos fuente e ideas
El componente de virus
El virus utiliza la tecnología "Entry Point Obscuring" mientras infecta un archivo. Eso significa que el virus no afecta el archivo en su código de entrada, pero coloca una instrucción "Jump Virus" en algún lugar en el medio de la sección de código de archivo para hacer que los procedimientos de detección y desinfección sean más complejos. Como resultado, el virus se activa solo en caso de que la rama correspondiente del programa afectado reciba el control.
El virus también está encriptado, por lo tanto, primero se descifra cuando su código gana control. Luego, el virus busca las funciones API de Win32 necesarias escaneando el núcleo de Win32. Para hacer esto, el virus prueba las direcciones Win9x, WinNT y Win2000.
Luego, el virus busca programas antivirus activos en el sistema y sale en caso de que se detecte alguno de ellos. La lista de programas antivirus a los que el virus presta atención aparece de la siguiente manera:
AntiViral Toolkit Pro
Monitor AVP
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan
Luego, el virus instala sus componentes en el sistema. Se descomprimen instalados en el directorio de Windows y luego se generan. Hay tres archivos creados, y tienen un conjunto de atributos ocultos y los siguientes nombres:
IE_PACK.EXE - código de gusano puro
WIN32.DLL - Código de gusano infectado por el virus (como "Archivo infectado" más arriba)
MTX_.EXE - Código de puerta trasera
Luego, el virus infecta los archivos PE EXE ejecutables de Win32 en directorios actuales, temporales y de Windows, y luego se cierra.
Gusano
Para enviar mensajes infectados, el gusano usa tecnología que por primera vez se encontró en el gusano de Internet "Feliz" (también conocido como Happy99, también conocido como SKA).
El gusano afecta al archivo WSOCK32.DLL en el directorio de sistema de Windows al agregar un componente de su código al final del archivo y conectar la rutina "enviar" WSOCK32.DLL. Como resultado, el gusano entonces monitorea todos los datos que se envían desde una computadora afectada a Internet.
Por lo general, el archivo WSOCK32.DLL está en uso en el momento en que se inicia el gusano, y está bloqueado para la escritura. Para evitar esto, el gusano usa un método estándar: crea una copia del WSOCK32.DLL original con un nombre WSOCK32.MTX, afecta esa copia y luego escribe "reemplazar el archivo original con infectado" al archivo WININIT.INI:
NUL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX
donde "C: WINDOWSSYSTEM" es el nombre del directorio de sistema de Windows y puede variar según el nombre del directorio de Windows instalado.
En el siguiente reinicio, el WSOCK32 infectado reemplaza al original, y el gusano obtiene acceso a los datos que se envían desde la máquina infectada. El gusano presta atención a los sitios de Internet (Web, ftp) que se visitan, así como a los mensajes de correo electrónico que se envían desde una computadora.
El comportamiento muy visible del virus se debe al hecho de que impide la capacidad de visitar varios sitios de Internet, así como también inhabilita el envío de mensajes a los mismos dominios (son nombres de dominio antivirus). El virus los detecta mediante combinaciones de cuatro letras que aparecen de la siguiente manera:
Nii.
nai
avp.
f-se
mapl
pand
soph
ndmi
una tarifa
yenn
Lywa
tbav
yman
El gusano tampoco permite el envío de mensajes de correo electrónico a estos dominios:
wildlist.o *
il.esafe.c *
perfectsup *
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
earthlink. *
inexar.com *
comkom.co. *
meditrade. *
mabex.com *
cellco.com *
symantec.c *
exitoso*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
trendmicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *
El gusano también intercepta los mensajes de correo electrónico que se envían e intenta enviar un mensaje duplicado con un archivo adjunto infectado a la misma dirección (lo mismo que el gusano "Feliz"). Como resultado, la dirección de la víctima debe recibir dos mensajes: primero, es el mensaje original, escrito por un remitente; segundo, aparece un mensaje con un asunto y texto vacíos y un archivo adjunto que tiene uno de los nombres seleccionados por el gusano según la fecha actual:
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
Como archivo adjunto, el gusano usa el archivo WIN32.DLL que ha sido eliminado por el componente del virus.
Nota: el gusano no suelta el archivo WIN32.DLL, pero usa ese archivo para adjuntarlo a los mensajes que se envían. Por lo tanto, el "gusano puro" no puede propagarse más de una vez: al ser ejecutado en una máquina víctima, el gusano infectará WSOCK32.DLL, pero no podrá enviar sus copias más. Para "solucionar este problema", el gusano envía su copia infectada (WIN32.DLL es un componente del gusano infectado por un componente del virus, ver arriba).
La modificación conocida del gusano tiene un error en su rutina de propagación y el servidor de correo electrónico en muchos casos no recibe los mensajes afectados de la máquina infectada. A pesar de eso, si el sistema tiene conexión de acceso telefónico, o el servidor de correo es lo suficientemente rápido, el gusano envía sus copias sin problemas.
Puerta trasera
Al ejecutarse, un componente de Backdoor crea una nueva clave en el registro del sistema que indica que la máquina ya está infectada:
HKLMSoftware [MATRIZ]
En caso de que exista esta clave, la puerta trasera omite el procedimiento de instalación. De lo contrario, se registra en la sección de ejecución automática:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% MTX_.EXE
donde% WinDir% es el directorio de Windows.
El Backdoor luego se mantiene activo en Windows como una aplicación oculta (servicio) y ejecuta una rutina que se conecta a un servidor de Internet, obtiene archivos de allí y los genera en el sistema. Por lo tanto, la puerta trasera puede infectar el sistema con otros virus o instalar programas troyanos o puertas traseras más funcionales.
Este componente en la versión de virus conocida también tiene un error que provoca un mensaje de Windows estándar sobre un error en la aplicación cuando una puerta trasera intenta acceder a un sitio de Internet.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com