Detalles técnicos
Este es un gusano peligroso que se propaga a través de los canales de Internet e IRC, y también infecta la red local. El gusano en sí es una aplicación de Windows escrita en Delphi de aproximadamente 90K de tamaño (el gusano también puede ser comprimido por una herramienta de compresión PE EXE, por lo que el tamaño del archivo resultante puede ser menor que el original).
Mandando correos electrónicos
Para enviar correos electrónicos infectados desde las computadoras afectadas, el gusano prueba dos métodos diferentes. En primer lugar, busca el correo de Eudora instalado en el sistema. Si hay uno, el gusano escanea la base de datos de correo electrónico saliente de Eudora (archivo OUT.MBX), obtiene direcciones de correo electrónico desde allí y envía correos electrónicos infectados con copia adjunta del gusano a estas direcciones. Los mensajes del gusano tienen:
Asunto: relativo a la semana pasada … Texto: Por favor revise el adjunto y vuelva conmigo lo antes posible. Haga doble clic en el icono para abrirlo. Adjuntar: c: silver.exe
A continuación, el gusano prueba el sistema de correo electrónico instalado que no depende de la marca. Para hacer eso, el gusano usa las funciones de MAPI: se conecta al sistema de correo electrónico instalado, recibe mensajes de allí, lee las direcciones de correo electrónico y las usa para enviar sus copias. En este caso los mensajes tienen:
Asunto : Re: ahora esta es una buena foto 🙂 Texto: Pensé que podría estar interesado en verla Adjuntar: naked.jpg.exe
Infectar clientes mIRC y PIRCH
Para afectar a los clientes de IRC, el gusano busca los directorios C: MIRC, C: MIRC32, C: PIRCH98 y sobrescribe los scripts de IRC allí con un programa que envía una copia de gusano a cada usuario que ingresa al canal afectado.
La secuencia de comandos mIRC también tiene características adicionales. Cuando un usuario envía al canal IRC un mensaje que contiene el texto "silverrat", el gusano responde a ese usuario con el mensaje "Tengo el virus Silver Rat" (por lo que el gusano informa al maestro acerca de las computadoras infectadas). Si el texto "pyrealrat" se encuentra en el canal, la secuencia de comandos abre la unidad C: en la máquina afectada como servidor de archivos (que otorga acceso maestro de gusanos a todos los datos en la unidad C:).
Difundir a través de la red local
Para infectar computadoras remotas en la red, el gusano escanea todas las unidades desde C: hasta Z: y busca allí el directorio de WINDOWS. Si hay uno, el gusano se copia allí y se registra en la sección de ejecución automática de Windows en el archivo WIN.INI, o en el registro del sistema dependiendo de la versión de Windows (Win9x o WinNT). Entonces, el gusano puede infectar computadoras remotas en caso de que sus discos sean compartidos para leer / escribir.
Instalando en el sistema
Para instalarse en el sistema, el gusano se copia en los directorios con los nombres:
al directorio de Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR a C: directorio raíz de la unidad: SILVER.EXE
El gusano se registra en los campos de ejecución automática en el registro del sistema:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices HKUSoftwareMicrosoftWindowsCurrentVersionRun
Todos estos campos contendrán la instrucción:
"Silver Rat" = WinDirsilver.exe
donde "WinDir" es el nombre del directorio de Windows.
Como resultado, la copia del gusano se ejecuta cuatro veces en cada inicio de Windows. Para ejecutarse más veces (y para enviar más correos electrónicos infectados como resultado), el gusano también afecta a más claves de registro.
Afectar las claves de registro
Las aplicaciones de Windows están vinculadas con extensiones de nombre de archivo por registros especiales en el registro del sistema. Estos registros apuntan a la aplicación que se ejecuta para procesar archivos con la extensión especificada. Cuando se abre un archivo, Windows obtiene su extensión y luego se refiere al registro del sistema para obtener el nombre de la aplicación que procesa los archivos de ese tipo.
El gusano usa esa característica de Windows y modifica más de 100 de esas claves de registro: reemplaza la referencia original a las aplicaciones con una referencia a su propia copia (SILVER.VXD). El gusano lo hace por tres claves diferentes por aplicación:
comando shellopen shelleditcommand Shellplaycommand
Las claves de registro parcheadas se muestran a continuación:
HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%" HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%" HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"
donde los dígitos en la línea son ID para ejecutar el archivo de host (ver a continuación).
La lista de aplicaciones afectadas (claves de registro que vinculan la extensión de nombre de archivo con la aplicación) es bastante grande y tiene el siguiente aspecto:
accesshtmlfile iqyfile regedit fonfile accesssthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS aspfile mic VBSFile MMST AudioCD MIDFile wab_auto_file MMSU aufile dinero Winamp.File NSM AVIFile MOVFile WinRAR MSBD Maletín MPEGFILE WinRAR.ZIP motiffile cdafile MPlayer WinZip Msi.Package Chat mscfile wrifile Msi.Patch CSSfile msee WSFFile ofc.Document curfile msgfile x-internet-signup ofx.Document Unidad MSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document noticias ftp xslfile rtsp giffile nntp m3ufile scpfile archivo de ayuda Notes.Link ASFFile scriptletfile hlpfile ossfile ASXFile SSM htfile outlook BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlfile Connection Manager Profile Whiteboard icquser ramfile eybfile WIFImage.Document inifile Archivo de RealMedia ArchivoFnd WSHFile
El gusano almacena claves originales en la otra clave de registro:
HKLMSoftwareSilver Rata
Esta clave contiene la lista de todas las claves que fueron reemplazadas como se mostró arriba. Esta lista es utilizada por el gusano para ejecutar la aplicación original: el gusano obtiene el nombre de la aplicación y la línea de comando de esa lista de "respaldo" y la genera.
Tal método de afectación del registro del sistema es muy peligroso. En caso de que la copia del gusano sea un eliminador del sistema, Windows no puede pasar los archivos a la aplicación que figura en la lista anterior. Como resultado, Windows se mantiene en su mayoría no funcional después de eso. En caso de que se abra un archivo de la lista afectada, informa un mensaje de error que indica que SILVER.VXD asociado no se puede encontrar.
El gusano presta especial atención a los archivos de copia de seguridad del sistema y se deshace de ellos para evitar restaurar los archivos de registro desde la copia de seguridad. Para hacer eso, el gusano se corrompe (sobrescribe los primeros 5K de cada archivo con datos basura) y elimina los archivos:
USER.DA0 y SYSTEM.DA0 en el directorio de Windows SYSTEM.1ST en el directorio raíz de C: unidad
"Desinstalar" la carga útil
El gusano tiene una rutina de carga útil que se ejecuta en un caso de "desinstalación".
El gusano crea la clave de "desinstalación" en el registro del sistema:
HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rata DisplayName = "Silver Rat Virus" UninstallString = "c: silver.exe / uninstall"
Como resultado, el registro del gusano es visible en la ventana ControlPanel / AddRemovePrograms como "Silver Rat Virus". En caso de que se presione el botón "Eliminar", el gusano muestra el cuadro de mensaje:
Sangre "Tengo que devolver algunos videos" – American Psycho
y llena de basura la línea del encabezado en la ventana RecycleBin (ver imagen).
Otras características
El gusano busca aplicaciones antivirus activas y las termina por sus nombres:
Monitor AVP Norton AntiVirus Auto-Protect Norton AntiVirus v5.0 VShieldWin_Class NAI_VS_STAT Programador de McAfee VirusScan Alarma de zona Clase WRQ NAMApp
También busca archivos antivirus (bases de datos) y los elimina:
* .AVC (AVP) * .DAT (NAI) BAVAP.VXD, NAVKRNLN.VXD (NAV)
El gusano también intenta afectar los archivos VBS pero falla debido a un error.
|