Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano de virus que se propaga bajo los sistemas Win32. El virus infecta archivos ejecutables de Win32, intenta enviar mensajes de correo electrónico con archivos adjuntos infectados, así como instala un componente de puerta trasera para descargar y generar "complementos" en un sistema afectado. El gusano causó una epidemia global de septiembre a octubre de 2000.

El virus tiene una estructura inusual. Consta de tres componentes diferentes que se ejecutan como programas independientes (Virus, Gusano de correo electrónico y Puerta trasera). El virus es el componente principal y mantiene los programas de gusanos y puerta trasera en su código en forma comprimida. Al infectar el sistema, el virus los extrae y los engendra:

Estructura del virus

 � =============== -
  � El virus � -> instala Worm y Backdoor en el sistema,
  � instalación � luego encuentra e infecta los archivos ejecutables Win32
  � e infección � 
  � rutinas � 
  � --------------- � 
  � El código del gusano � -> se extrae al archivo y se ejecuta como un programa independiente
  � (comprimido) � 
  � --------------- � 
  � El código de puerta trasera � -> se extrae al archivo y se ejecuta como un programa independiente
  � (comprime) � 
 L =============== -

Archivo EXE infectado

  � =============== -
  � Código de archivo � 
  � y datos � 
  � � 
  � =============== � 
  � Código de virus: � 
  � --------------- � 
  �� Instalación�� 
  ��y infección�� 
  � + ------------- + � 
  �� Gusano �� 
  � + ------------- + � 
  �� Puerta trasera �� 
  �L -------------- � 
 L =============== -

El código del gusano no contiene todas las rutinas necesarias para infectar el sistema, que se envía como adjunto en un mensaje de correo electrónico infectado (ver a continuación). El gusano necesita "ayuda" del componente del virus y se envía como infectado por el virus (el virus infecta el archivo del gusano como un archivo común y luego se envía). La razón de tal método no está clara, pero probablemente los componentes fueron escritos por diferentes personas.

El componente Virus contiene las cadenas de texto:

SABI�.b ViRuS
Software proporcionado por [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: Todos los tipos VX en #virus y Vecna por ayudarnos
Visitanos en:
http://www.coderz.net/matrix

El componente del gusano contiene las cadenas de texto:

Software proporcionado por el equipo [MATRiX] VX:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Todo el tipo VX en el canal de virus y Vecna
Visítanos: www.coderz.net/matrix

La puerta trasera contiene el texto:

Software proporcionado por el equipo [MATRiX]:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 códigos fuente e ideas

El componente de virus

El virus utiliza la tecnología "Entry Point Obscuring" mientras infecta un archivo. Eso significa que el virus no afecta el archivo en su código de entrada, pero coloca una instrucción "Jump Virus" en algún lugar en el medio de la sección de código de archivo para hacer que los procedimientos de detección y desinfección sean más complejos. Como resultado, el virus se activa solo en caso de que la rama correspondiente del programa afectado reciba el control.

El virus también está encriptado, por lo tanto, primero se descifra cuando su código gana control. Luego, el virus busca las funciones API de Win32 necesarias escaneando el núcleo de Win32. Para hacer esto, el virus prueba las direcciones Win9x, WinNT y Win2000.

Luego, el virus busca programas antivirus activos en el sistema y sale en caso de que se detecte alguno de ellos. La lista de programas antivirus a los que el virus presta atención aparece de la siguiente manera:

AntiViral Toolkit Pro
Monitor AVP
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan

Luego, el virus instala sus componentes en el sistema. Se descomprimen instalados en el directorio de Windows y luego se generan. Hay tres archivos creados, y tienen un conjunto de atributos ocultos y los siguientes nombres:

IE_PACK.EXE – código de gusano puro
WIN32.DLL – Código de gusano infectado por el virus (como "Archivo infectado" más arriba)
MTX_.EXE – Código de puerta trasera

Luego, el virus infecta los archivos PE EXE ejecutables de Win32 en directorios actuales, temporales y de Windows, y luego se cierra.

Gusano

Para enviar mensajes infectados, el gusano usa tecnología que por primera vez se encontró en el gusano de Internet "Feliz" (también conocido como Happy99, también conocido como SKA).

El gusano afecta al archivo WSOCK32.DLL en el directorio de sistema de Windows al agregar un componente de su código al final del archivo y conectar la rutina "enviar" WSOCK32.DLL. Como resultado, el gusano entonces monitorea todos los datos que se envían desde una computadora afectada a Internet.

Por lo general, el archivo WSOCK32.DLL está en uso en el momento en que se inicia el gusano, y está bloqueado para la escritura. Para evitar esto, el gusano usa un método estándar: crea una copia del WSOCK32.DLL original con un nombre WSOCK32.MTX, afecta esa copia y luego escribe "reemplazar el archivo original con infectado" al archivo WININIT.INI:

NUL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX

donde "C: WINDOWSSYSTEM" es el nombre del directorio de sistema de Windows y puede variar según el nombre del directorio de Windows instalado.

En el siguiente reinicio, el WSOCK32 infectado reemplaza al original, y el gusano obtiene acceso a los datos que se envían desde la máquina infectada. El gusano presta atención a los sitios de Internet (Web, ftp) que se visitan, así como a los mensajes de correo electrónico que se envían desde una computadora.

El comportamiento muy visible del virus se debe al hecho de que impide la capacidad de visitar varios sitios de Internet, así como también inhabilita el envío de mensajes a los mismos dominios (son nombres de dominio antivirus). El virus los detecta mediante combinaciones de cuatro letras que aparecen de la siguiente manera:

Nii.
nai
avp.
f-se
mapl
pand
soph
ndmi
una tarifa
yenn
Lywa
tbav
yman

El gusano tampoco permite el envío de mensajes de correo electrónico a estos dominios:

wildlist.o *
il.esafe.c *
perfectsup *
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
earthlink. *
inexar.com *
comkom.co. *
meditrade. *
mabex.com *
cellco.com *
symantec.c *
exitoso*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
trendmicro *
sophos.com *
maple.com. *
netsales.n *
f-secure.c *

El gusano también intercepta los mensajes de correo electrónico que se envían e intenta enviar un mensaje duplicado con un archivo adjunto infectado a la misma dirección (lo mismo que el gusano "Feliz"). Como resultado, la dirección de la víctima debe recibir dos mensajes: primero, es el mensaje original, escrito por un remitente; segundo, aparece un mensaje con un asunto y texto vacíos y un archivo adjunto que tiene uno de los nombres seleccionados por el gusano según la fecha actual:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH! .TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT! .TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Como archivo adjunto, el gusano usa el archivo WIN32.DLL que ha sido eliminado por el componente del virus.

Nota: el gusano no suelta el archivo WIN32.DLL, pero usa ese archivo para adjuntarlo a los mensajes que se envían. Por lo tanto, el "gusano puro" no puede propagarse más de una vez: al ser ejecutado en una máquina víctima, el gusano infectará WSOCK32.DLL, pero no podrá enviar sus copias más. Para "solucionar este problema", el gusano envía su copia infectada (WIN32.DLL es un componente del gusano infectado por un componente del virus, ver arriba).

La modificación conocida del gusano tiene un error en su rutina de propagación y el servidor de correo electrónico en muchos casos no recibe los mensajes afectados de la máquina infectada. A pesar de eso, si el sistema tiene conexión de acceso telefónico, o el servidor de correo es lo suficientemente rápido, el gusano envía sus copias sin problemas.

Puerta trasera

Al ejecutarse, un componente de Backdoor crea una nueva clave en el registro del sistema que indica que la máquina ya está infectada:

HKLMSoftware [MATRIZ]

En caso de que exista esta clave, la puerta trasera omite el procedimiento de instalación. De lo contrario, se registra en la sección de ejecución automática:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% MTX_.EXE

donde% WinDir% es el directorio de Windows.

El Backdoor luego se mantiene activo en Windows como una aplicación oculta (servicio) y ejecuta una rutina que se conecta a un servidor de Internet, obtiene archivos de allí y los genera en el sistema. Por lo tanto, la puerta trasera puede infectar el sistema con otros virus o instalar programas troyanos o puertas traseras más funcionales.

Este componente en la versión de virus conocida también tiene un error que provoca un mensaje de Windows estándar sobre un error en la aplicación cuando una puerta trasera intenta acceder a un sitio de Internet.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano de virus que se propaga bajo los sistemas Win32. El virus infecta archivos ejecutables de Win32, intenta enviar mensajes de correo electrónico con archivos adjuntos infectados, así como instala un componente de puerta trasera para descargar y generar "complementos" en un sistema afectado. El gusano causó una epidemia global de septiembre a octubre de 2000. El virus tiene una estructura inusual. Consta de tres componentes diferentes que se ejecutan como programas independientes (Virus, Gusano de correo electrónico y Puerta trasera). El virus es el componente principal y mantiene los programas de gusanos y puerta trasera en su código en forma comprimida. Al infectar el sistema, el virus los extrae y los engendra: Estructura del virus � =============== - � El virus � -> instala Worm y Backdoor en el sistema, � instalación � luego encuentra e infecta los archivos ejecutables Win32 � e infección � � rutinas � � --------------- � � El código del gusano � -> se extrae al archivo y se ejecuta como un programa independiente � (comprimido) � � --------------- � � El código de puerta trasera � -> se extrae al archivo y se ejecuta como un programa independiente � (comprime) � L =============== - Archivo EXE infectado � =============== - � Código de archivo � � y datos � � � � =============== � � Código de virus: � � --------------- � �� Instalación�� y infección�� + ------------- + � �� Gusano �� + ------------- + � �� Puerta trasera �� L -------------- � L =============== - El código del gusano no contiene todas las rutinas necesarias para infectar el sistema, que se envía como adjunto en un mensaje de correo electrónico infectado (ver a continuación). El gusano necesita "ayuda" del componente del virus y se envía como infectado por el virus (el virus infecta el archivo del gusano como un archivo común y luego se envía). La razón de tal método no está clara, pero probablemente los componentes fueron escritos por diferentes personas. El componente Virus contiene las cadenas de texto: SABI�.b ViRuS Software proporcionado por [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: Todos los tipos VX en #virus y Vecna por ayudarnos Visitanos en: http://www.coderz.net/matrix El componente del gusano contiene las cadenas de texto: Software proporcionado por el equipo [MATRiX] VX: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: Todo el tipo VX en el canal de virus y Vecna Visítanos: www.coderz.net/matrix La puerta trasera contiene el texto: Software proporcionado por el equipo [MATRiX]: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos Greetz: Vecna 4 códigos fuente e ideas El componente de virus El virus utiliza la tecnología "Entry Point Obscuring" mientras infecta un archivo. Eso significa que el virus no afecta el archivo en su código de entrada, pero coloca una instrucción "Jump Virus" en algún lugar en el medio de la sección de código de archivo para hacer que los procedimientos de detección y desinfección sean más complejos. Como resultado, el virus se activa solo en caso de que la rama correspondiente del programa afectado reciba el control. El virus también está encriptado, por lo tanto, primero se descifra cuando su código gana control. Luego, el virus busca las funciones API de Win32 necesarias escaneando el núcleo de Win32. Para hacer esto, el virus prueba las direcciones Win9x, WinNT y Win2000. Luego, el virus busca programas antivirus activos en el sistema y sale en caso de que se detecte alguno de ellos. La lista de programas antivirus a los que el virus presta atención aparece de la siguiente manera: AntiViral Toolkit Pro Monitor AVP Vsstat Webscanx Avconsol McAfee VirusScan Vshwin32 Central do McAfee VirusScan Luego, el virus instala sus componentes en el sistema. Se descomprimen instalados en el directorio de Windows y luego se generan. Hay tres archivos creados, y tienen un conjunto de atributos ocultos y los siguientes nombres: IE_PACK.EXE – código de gusano puro WIN32.DLL – Código de gusano infectado por el virus (como "Archivo infectado" más arriba) MTX_.EXE – Código de puerta trasera Luego, el virus infecta los archivos PE EXE ejecutables de Win32 en directorios actuales, temporales y de Windows, y luego se cierra. Gusano Para enviar mensajes infectados, el gusano usa tecnología que por primera vez se encontró en el gusano de Internet "Feliz" (también conocido como Happy99, también conocido como SKA). El gusano afecta al archivo WSOCK32.DLL en el directorio de sistema de Windows al agregar un componente de su código al final del archivo y conectar la rutina "enviar" WSOCK32.DLL. Como resultado, el gusano entonces monitorea todos los datos que se envían desde una computadora afectada a Internet. Por lo general, el archivo WSOCK32.DLL está en uso en el momento en que se inicia el gusano, y está bloqueado para la escritura. Para evitar esto, el gusano usa un método estándar: crea una copia del WSOCK32.DLL original con un nombre WSOCK32.MTX, afecta esa copia y luego escribe "reemplazar el archivo original con infectado" al archivo WININIT.INI: NUL = C: WINDOWSSYSTEMWSOCK32.DLL C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX donde "C: WINDOWSSYSTEM" es el nombre del directorio de sistema de Windows y puede variar según el nombre del directorio de Windows instalado. En el siguiente reinicio, el WSOCK32 infectado reemplaza al original, y el gusano obtiene acceso a los datos que se envían desde la máquina infectada. El gusano presta atención a los sitios de Internet (Web, ftp) que se visitan, así como a los mensajes de correo electrónico que se envían desde una computadora. El comportamiento muy visible del virus se debe al hecho de que impide la capacidad de visitar varios sitios de Internet, así como también inhabilita el envío de mensajes a los mismos dominios (son nombres de dominio antivirus). El virus los detecta mediante combinaciones de cuatro letras que aparecen de la siguiente manera: Nii. nai avp. f-se mapl pand soph ndmi una tarifa yenn Lywa tbav yman El gusano tampoco permite el envío de mensajes de correo electrónico a estos dominios: wildlist.o * il.esafe.c * perfectsup * complex.is * HiServ.com * hiserv.com * metro.ch * beyond.com * mcafee.com * pandasoftw * earthlink. * inexar.com * comkom.co. * meditrade. * mabex.com * cellco.com * symantec.c * exitoso* inforamp.n * newell.com * singnet.co * bmcd.com.a * bca.com.nz * trendmicro * sophos.com * maple.com. * netsales.n * f-secure.c * El gusano también intercepta los mensajes de correo electrónico que se envían e intenta enviar un mensaje duplicado con un archivo adjunto infectado a la misma dirección (lo mismo que el gusano "Feliz"). Como resultado, la dirección de la víctima debe recibir dos mensajes: primero, es el mensaje original, escrito por un remitente; segundo, aparece un mensaje con un asunto y texto vacíos y un archivo adjunto que tiene uno de los nombres seleccionados por el gusano según la fecha actual: README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_saver.SCR BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_Saver.SCR READER_DIGEST_LETTER.TXT.pif WIN_ $ 100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH! .TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE YOU_are_FAT! .TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON.SCR FUCKING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif Como archivo adjunto, el gusano usa el archivo WIN32.DLL que ha sido eliminado por el componente del virus. Nota: el gusano no suelta el archivo WIN32.DLL, pero usa ese archivo para adjuntarlo a los mensajes que se envían. Por lo tanto, el "gusano puro" no puede propagarse más de una vez: al ser ejecutado en una máquina víctima, el gusano infectará WSOCK32.DLL, pero no podrá enviar sus copias más. Para "solucionar este problema", el gusano envía su copia infectada (WIN32.DLL es un componente del gusano infectado por un componente del virus, ver arriba). La modificación conocida del gusano tiene un error en su rutina de propagación y el servidor de correo electrónico en muchos casos no recibe los mensajes afectados de la máquina infectada. A pesar de eso, si el sistema tiene conexión de acceso telefónico, o el servidor de correo es lo suficientemente rápido, el gusano envía sus copias sin problemas. Puerta trasera Al ejecutarse, un componente de Backdoor crea una nueva clave en el registro del sistema que indica que la máquina ya está infectada: HKLMSoftware [MATRIZ] En caso de que exista esta clave, la puerta trasera omite el procedimiento de instalación. De lo contrario, se registra en la sección de ejecución automática: HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemBackup =% WinDir% MTX_.EXE donde% WinDir% es el directorio de Windows. El Backdoor luego se mantiene activo en Windows como una aplicación oculta (servicio) y ejecuta una rutina que se conecta a un servidor de Internet, obtiene archivos de allí y los genera en el sistema. Por lo tanto, la puerta trasera puede infectar el sistema con otros virus o instalar programas troyanos o puertas traseras más funcionales. Este componente en la versión de virus conocida también tiene un error que provoca un mensaje de Windows estándar sobre un error en la aplicación cuando una puerta trasera intenta acceder a un sitio de Internet.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.MTX