Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano peligroso que se propaga a través de los canales de Internet e IRC, y también infecta la red local. El gusano en sí es una aplicación de Windows escrita en Delphi de aproximadamente 90K de tamaño (el gusano también puede ser comprimido por una herramienta de compresión PE EXE, por lo que el tamaño del archivo resultante puede ser menor que el original).

Mandando correos electrónicos

Para enviar correos electrónicos infectados desde las computadoras afectadas, el gusano prueba dos métodos diferentes. En primer lugar, busca el correo de Eudora instalado en el sistema. Si hay uno, el gusano escanea la base de datos de correo electrónico saliente de Eudora (archivo OUT.MBX), obtiene direcciones de correo electrónico desde allí y envía correos electrónicos infectados con copia adjunta del gusano a estas direcciones. Los mensajes del gusano tienen:

Asunto: relativo a la semana pasada …
Texto: Por favor revise el adjunto y vuelva conmigo lo antes posible.
Haga doble clic en el icono para abrirlo.
Adjuntar: c: silver.exe

A continuación, el gusano prueba el sistema de correo electrónico instalado que no depende de la marca. Para hacer eso, el gusano usa las funciones de MAPI: se conecta al sistema de correo electrónico instalado, recibe mensajes de allí, lee las direcciones de correo electrónico y las usa para enviar sus copias. En este caso los mensajes tienen:

Asunto : Re: ahora esta es una buena foto 🙂
Texto: Pensé que podría estar interesado en verla
Adjuntar: naked.jpg.exe

Infectar clientes mIRC y PIRCH

Para afectar a los clientes de IRC, el gusano busca los directorios C: MIRC, C: MIRC32, C: PIRCH98 y sobrescribe los scripts de IRC allí con un programa que envía una copia de gusano a cada usuario que ingresa al canal afectado.

La secuencia de comandos mIRC también tiene características adicionales. Cuando un usuario envía al canal IRC un mensaje que contiene el texto "silverrat", el gusano responde a ese usuario con el mensaje "Tengo el virus Silver Rat" (por lo que el gusano informa al maestro acerca de las computadoras infectadas). Si el texto "pyrealrat" se encuentra en el canal, la secuencia de comandos abre la unidad C: en la máquina afectada como servidor de archivos (que otorga acceso maestro de gusanos a todos los datos en la unidad C:).

Difundir a través de la red local

Para infectar computadoras remotas en la red, el gusano escanea todas las unidades desde C: hasta Z: y busca allí el directorio de WINDOWS. Si hay uno, el gusano se copia allí y se registra en la sección de ejecución automática de Windows en el archivo WIN.INI, o en el registro del sistema dependiendo de la versión de Windows (Win9x o WinNT). Entonces, el gusano puede infectar computadoras remotas en caso de que sus discos sean compartidos para leer / escribir.

Instalando en el sistema

Para instalarse en el sistema, el gusano se copia en los directorios con los nombres:

al directorio de Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
a C: directorio raíz de la unidad: SILVER.EXE

El gusano se registra en los campos de ejecución automática en el registro del sistema:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

Todos estos campos contendrán la instrucción:

"Silver Rat" = WinDirsilver.exe

donde "WinDir" es el nombre del directorio de Windows.

Como resultado, la copia del gusano se ejecuta cuatro veces en cada inicio de Windows. Para ejecutarse más veces (y para enviar más correos electrónicos infectados como resultado), el gusano también afecta a más claves de registro.

Afectar las claves de registro

Las aplicaciones de Windows están vinculadas con extensiones de nombre de archivo por registros especiales en el registro del sistema. Estos registros apuntan a la aplicación que se ejecuta para procesar archivos con la extensión especificada. Cuando se abre un archivo, Windows obtiene su extensión y luego se refiere al registro del sistema para obtener el nombre de la aplicación que procesa los archivos de ese tipo.

El gusano usa esa característica de Windows y modifica más de 100 de esas claves de registro: reemplaza la referencia original a las aplicaciones con una referencia a su propia copia (SILVER.VXD). El gusano lo hace por tres claves diferentes por aplicación:

comando shellopen
shelleditcommand
Shellplaycommand

Las claves de registro parcheadas se muestran a continuación:

HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%"
HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%"
HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"

donde los dígitos en la línea son ID para ejecutar el archivo de host (ver a continuación).

La lista de aplicaciones afectadas (claves de registro que vinculan la extensión de nombre de archivo con la aplicación) es bastante grande y tiene el siguiente aspecto:
 accesshtmlfile iqyfile regedit fonfile
 accesssthmltemplate IVFfile regfile GatewayFile
 AIFFFILE jpegfile SHCmdFile htafile
 AllaireTemplate JSFile SoundRec icsfile
 anifile ldap tgafile mhtmlfile
 artfile mailto txtfile MMS
 aspfile mic VBSFile MMST
 AudioCD MIDFile wab_auto_file MMSU
 aufile dinero Winamp.File NSM
 AVIFile MOVFile WinRAR MSBD
 Maletín MPEGFILE WinRAR.ZIP motiffile
 cdafile MPlayer WinZip Msi.Package
 Chat mscfile wrifile Msi.Patch
 CSSfile msee WSFFile ofc.Document
 curfile msgfile x-internet-signup ofx.Document
 Unidad MSProgramGroup xbmfile pjpegfile
 DrWatsonLog Net2PhoneApp xmlfile PNM
 Excel.Workspace NetscapeMarkup xnkfile qwb.Document
 noticias ftp xslfile rtsp
 giffile nntp m3ufile scpfile
 archivo de ayuda Notes.Link ASFFile scriptletfile
 hlpfile ossfile ASXFile SSM
 htfile outlook BeHostFile ThemeFile
 htmlfile PBrush ChannelFile TIFImage.Document
 http pcxfile chm.file ttffile
 https pngfile CMCD WangImage.Document
 icofile powerpointhtmlfile Connection Manager Profile Whiteboard
 icquser ramfile eybfile WIFImage.Document
 inifile Archivo de RealMedia ArchivoFnd WSHFile
El gusano almacena claves originales en la otra clave de registro:

HKLMSoftwareSilver Rata

Esta clave contiene la lista de todas las claves que fueron reemplazadas como se mostró arriba. Esta lista es utilizada por el gusano para ejecutar la aplicación original: el gusano obtiene el nombre de la aplicación y la línea de comando de esa lista de "respaldo" y la genera.

Tal método de afectación del registro del sistema es muy peligroso. En caso de que la copia del gusano sea un eliminador del sistema, Windows no puede pasar los archivos a la aplicación que figura en la lista anterior. Como resultado, Windows se mantiene en su mayoría no funcional después de eso. En caso de que se abra un archivo de la lista afectada, informa un mensaje de error que indica que SILVER.VXD asociado no se puede encontrar.

El gusano presta especial atención a los archivos de copia de seguridad del sistema y se deshace de ellos para evitar restaurar los archivos de registro desde la copia de seguridad. Para hacer eso, el gusano se corrompe (sobrescribe los primeros 5K de cada archivo con datos basura) y elimina los archivos:

USER.DA0 y SYSTEM.DA0 en el directorio de Windows
SYSTEM.1ST en el directorio raíz de C: unidad

"Desinstalar" la carga útil

El gusano tiene una rutina de carga útil que se ejecuta en un caso de "desinstalación".

El gusano crea la clave de "desinstalación" en el registro del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rata
DisplayName = "Silver Rat Virus"
UninstallString = "c: silver.exe / uninstall"

Como resultado, el registro del gusano es visible en la ventana ControlPanel / AddRemovePrograms como "Silver Rat Virus". En caso de que se presione el botón "Eliminar", el gusano muestra el cuadro de mensaje:

Sangre
"Tengo que devolver algunos videos" – American Psycho

y llena de basura la línea del encabezado en la ventana RecycleBin (ver imagen).

Otras características

El gusano busca aplicaciones antivirus activas y las termina por sus nombres:

Monitor AVP
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
Programador de McAfee VirusScan
Alarma de zona
Clase WRQ NAMApp

También busca archivos antivirus (bases de datos) y los elimina:

* .AVC (AVP)
* .DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

El gusano también intenta afectar los archivos VBS pero falla debido a un error.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano peligroso que se propaga a través de los canales de Internet e IRC, y también infecta la red local. El gusano en sí es una aplicación de Windows escrita en Delphi de aproximadamente 90K de tamaño (el gusano también puede ser comprimido por una herramienta de compresión PE EXE, por lo que el tamaño del archivo resultante puede ser menor que el original). Mandando correos electrónicos Para enviar correos electrónicos infectados desde las computadoras afectadas, el gusano prueba dos métodos diferentes. En primer lugar, busca el correo de Eudora instalado en el sistema. Si hay uno, el gusano escanea la base de datos de correo electrónico saliente de Eudora (archivo OUT.MBX), obtiene direcciones de correo electrónico desde allí y envía correos electrónicos infectados con copia adjunta del gusano a estas direcciones. Los mensajes del gusano tienen: Asunto: relativo a la semana pasada … Texto: Por favor revise el adjunto y vuelva conmigo lo antes posible. Haga doble clic en el icono para abrirlo. Adjuntar: c: silver.exe A continuación, el gusano prueba el sistema de correo electrónico instalado que no depende de la marca. Para hacer eso, el gusano usa las funciones de MAPI: se conecta al sistema de correo electrónico instalado, recibe mensajes de allí, lee las direcciones de correo electrónico y las usa para enviar sus copias. En este caso los mensajes tienen: Asunto : Re: ahora esta es una buena foto 🙂 Texto: Pensé que podría estar interesado en verla Adjuntar: naked.jpg.exe Infectar clientes mIRC y PIRCH Para afectar a los clientes de IRC, el gusano busca los directorios C: MIRC, C: MIRC32, C: PIRCH98 y sobrescribe los scripts de IRC allí con un programa que envía una copia de gusano a cada usuario que ingresa al canal afectado. La secuencia de comandos mIRC también tiene características adicionales. Cuando un usuario envía al canal IRC un mensaje que contiene el texto "silverrat", el gusano responde a ese usuario con el mensaje "Tengo el virus Silver Rat" (por lo que el gusano informa al maestro acerca de las computadoras infectadas). Si el texto "pyrealrat" se encuentra en el canal, la secuencia de comandos abre la unidad C: en la máquina afectada como servidor de archivos (que otorga acceso maestro de gusanos a todos los datos en la unidad C:). Difundir a través de la red local Para infectar computadoras remotas en la red, el gusano escanea todas las unidades desde C: hasta Z: y busca allí el directorio de WINDOWS. Si hay uno, el gusano se copia allí y se registra en la sección de ejecución automática de Windows en el archivo WIN.INI, o en el registro del sistema dependiendo de la versión de Windows (Win9x o WinNT). Entonces, el gusano puede infectar computadoras remotas en caso de que sus discos sean compartidos para leer / escribir. Instalando en el sistema Para instalarse en el sistema, el gusano se copia en los directorios con los nombres: al directorio de Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR a C: directorio raíz de la unidad: SILVER.EXE El gusano se registra en los campos de ejecución automática en el registro del sistema: HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices HKUSoftwareMicrosoftWindowsCurrentVersionRun Todos estos campos contendrán la instrucción: "Silver Rat" = WinDirsilver.exe donde "WinDir" es el nombre del directorio de Windows. Como resultado, la copia del gusano se ejecuta cuatro veces en cada inicio de Windows. Para ejecutarse más veces (y para enviar más correos electrónicos infectados como resultado), el gusano también afecta a más claves de registro. Afectar las claves de registro Las aplicaciones de Windows están vinculadas con extensiones de nombre de archivo por registros especiales en el registro del sistema. Estos registros apuntan a la aplicación que se ejecuta para procesar archivos con la extensión especificada. Cuando se abre un archivo, Windows obtiene su extensión y luego se refiere al registro del sistema para obtener el nombre de la aplicación que procesa los archivos de ese tipo. El gusano usa esa característica de Windows y modifica más de 100 de esas claves de registro: reemplaza la referencia original a las aplicaciones con una referencia a su propia copia (SILVER.VXD). El gusano lo hace por tres claves diferentes por aplicación: comando shellopen shelleditcommand Shellplaycommand Las claves de registro parcheadas se muestran a continuación: HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%" HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%" HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%" donde los dígitos en la línea son ID para ejecutar el archivo de host (ver a continuación). La lista de aplicaciones afectadas (claves de registro que vinculan la extensión de nombre de archivo con la aplicación) es bastante grande y tiene el siguiente aspecto: accesshtmlfile iqyfile regedit fonfile accesssthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS aspfile mic VBSFile MMST AudioCD MIDFile wab_auto_file MMSU aufile dinero Winamp.File NSM AVIFile MOVFile WinRAR MSBD Maletín MPEGFILE WinRAR.ZIP motiffile cdafile MPlayer WinZip Msi.Package Chat mscfile wrifile Msi.Patch CSSfile msee WSFFile ofc.Document curfile msgfile x-internet-signup ofx.Document Unidad MSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document noticias ftp xslfile rtsp giffile nntp m3ufile scpfile archivo de ayuda Notes.Link ASFFile scriptletfile hlpfile ossfile ASXFile SSM htfile outlook BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlfile Connection Manager Profile Whiteboard icquser ramfile eybfile WIFImage.Document inifile Archivo de RealMedia ArchivoFnd WSHFile El gusano almacena claves originales en la otra clave de registro: HKLMSoftwareSilver Rata Esta clave contiene la lista de todas las claves que fueron reemplazadas como se mostró arriba. Esta lista es utilizada por el gusano para ejecutar la aplicación original: el gusano obtiene el nombre de la aplicación y la línea de comando de esa lista de "respaldo" y la genera. Tal método de afectación del registro del sistema es muy peligroso. En caso de que la copia del gusano sea un eliminador del sistema, Windows no puede pasar los archivos a la aplicación que figura en la lista anterior. Como resultado, Windows se mantiene en su mayoría no funcional después de eso. En caso de que se abra un archivo de la lista afectada, informa un mensaje de error que indica que SILVER.VXD asociado no se puede encontrar. El gusano presta especial atención a los archivos de copia de seguridad del sistema y se deshace de ellos para evitar restaurar los archivos de registro desde la copia de seguridad. Para hacer eso, el gusano se corrompe (sobrescribe los primeros 5K de cada archivo con datos basura) y elimina los archivos: USER.DA0 y SYSTEM.DA0 en el directorio de Windows SYSTEM.1ST en el directorio raíz de C: unidad "Desinstalar" la carga útil El gusano tiene una rutina de carga útil que se ejecuta en un caso de "desinstalación". El gusano crea la clave de "desinstalación" en el registro del sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rata DisplayName = "Silver Rat Virus" UninstallString = "c: silver.exe / uninstall" Como resultado, el registro del gusano es visible en la ventana ControlPanel / AddRemovePrograms como "Silver Rat Virus". En caso de que se presione el botón "Eliminar", el gusano muestra el cuadro de mensaje: Sangre "Tengo que devolver algunos videos" – American Psycho y llena de basura la línea del encabezado en la ventana RecycleBin (ver imagen). Otras características El gusano busca aplicaciones antivirus activas y las termina por sus nombres: Monitor AVP Norton AntiVirus Auto-Protect Norton AntiVirus v5.0 VShieldWin_Class NAI_VS_STAT Programador de McAfee VirusScan Alarma de zona Clase WRQ NAMApp También busca archivos antivirus (bases de datos) y los elimina: * .AVC (AVP) * .DAT (NAI) BAVAP.VXD, NAVKRNLN.VXD (NAV) El gusano también intenta afectar los archivos VBS pero falla debido a un error.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Silver

Detalles técnicos

Mandando correos electrónicos

Infectar clientes mIRC y PIRCH

Difundir a través de la red local

Instalando en el sistema

Afectar las claves de registro

"Desinstalar" la carga útil

Otras características