Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Email-Worm
Email-Worms esparcidos por correo electrónico. El gusano envía una copia de sí mismo como un archivo adjunto a un mensaje de correo electrónico o un enlace a su archivo en un recurso de red (por ejemplo, una URL a un archivo infectado en un sitio web comprometido o un sitio web propiedad de hackers). En el primer caso, el código del gusano se activa cuando se abre (inicia) el archivo adjunto infectado. En el segundo caso, el código se activa cuando se abre el enlace al archivo infectado. En ambos casos, el resultado es el mismo: el código del gusano está activado. Email-Worms utiliza una variedad de métodos para enviar correos electrónicos infectados. Los más comunes son: el uso de una conexión directa a un servidor SMTP utilizando el directorio de correo electrónico integrado en el código del gusano utilizando los servicios de MS Outlook utilizando las funciones de Windows MAPI. Email-Worms utiliza varias fuentes diferentes para encontrar las direcciones de correo electrónico a las que se enviarán los correos electrónicos infectados: la libreta de direcciones en MS Outlook una base de datos WAB. Archivos .txt almacenados en el disco duro: el gusano puede identificar qué cadenas en los archivos de texto son direcciones de correo electrónico correos electrónicos en la bandeja de entrada (algunos Email-Worms incluso "responden" a los correos electrónicos que se encuentran en la bandeja de entrada) Muchos Email-Worms usan más de una de las fuentes mencionadas anteriormente. También hay otras fuentes de direcciones de correo electrónico, como libretas de direcciones asociadas con servicios de correo electrónico basados en la web.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Descripción
Detalles técnicos
Se trata de un gusano de Internet (virus del tipo de gusano) que se propaga a través de correos electrónicos, canales IRC, infecta archivos en computadoras locales y se propaga a una red local. También roba las contraseñas del sistema (archivos PWL) de las computadoras infectadas, y tiene muchas rutinas de carga útil inofensivas y peligrosas. El gusano tiene un tamaño aproximado de 80 Kb en el programa Win32 (PE EXE - Portable Executable) escrito en Delphi, el código "puro" del gusano ocupa aproximadamente 20 Kb y el resto es código de la biblioteca del tiempo de ejecución Delphi, datos y la información diversa del programa.
El gusano llega como un correo electrónico con un mensaje falso (ver más abajo) y un archivo adjunto PKZIP.EXE que es el programa gusano. Cuando se ejecuta el gusano, se instala en el sistema, infecta los archivos en una unidad local, infecta las unidades lógicas disponibles, infecta al cliente mIRC instalado y envía correos electrónicos infectados mediante el sistema de correo de Eudora.
Instalando en el sistema
Para instalarse en el sistema, el gusano se copia con el nombre KERNEL.EXE en el directorio de Windows (en máquinas Win95 / 98) o en el directorio de sistema de Windows (en WinNT) y se registra en la clave de ejecución automática del registro del sistema :
SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe
El gusano también tiene una rutina de instalación adicional que instala las copias del gusano en todas las unidades disponibles. Esta rutina se describe a continuación.
Infectar una computadora
El gusano puede infectar unos 40 archivos en una computadora e infecta a no más de cuatro archivos en cada ejecución. El gusano infecta archivos en el directorio de Windows:
NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,USRMGR.EXE
El gusano infecta programas que están asociados con claves de registro:
SOFTWAREClassesAccess.Application.8 comando shellopenSOFTWAREClassesAudioCD shellplaycommandSOFTWAREClassesAVIFile shellplaycommandSOFTWAREClassescdafile shellplaycommandSOFTWAREClassesChat shellopencommandSOFTWAREClientsNewsForte Agent shellopencommandSOFTWAREClassesExcel.Sheet.8 comando shellopenSOFTWAREClassesftp shellopencommandSOFTWAREClassesjuego de estantería silenciosaSOFTWAREClasseshlpfile shellopencommandSOFTWAREClassesEudora DefaultIconSOFTWAREClassesEudora shellopencommandSOFTWAREClassesMicrosoft Internet Mail Message shellopencommandSOFTWAREClassesMicrosoft Internet News Message shellopencommandSOFTWAREClassesMOVFile shellopencommandSOFTWAREClassesMsi.Package shellopencommandSOFTWAREClassespcANYWHERE32 comando shellopenSOFTWAREClassesQuickView shellopencommandSOFTWAREClassesRealPlayer.RAM.6 shellopencommandSOFTWAREClassesWinamp.File shellopencommandSOFTWAREClassesUnfinished Descargar shellopencommandSOFTWAREClassesUltraEdit-32 Document shellopencommandSOFTWAREClassesWhiteboard shellopencommandSOFTWAREClassesvcard_wab_auto_file shellopencommandSOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exeSOFTWAREKasperskyLabComponents102EXEName
Al infectar cada archivo, el gusano usa el método de infección complementario: cambia el nombre de un archivo de víctima con ocho bytes de nombre aleatorio y extensión .EXE (por ejemplo: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) y se coloca con el nombre de archivo original. Como resultado, la copia del gusano se ejecutará cada vez que un usuario o sistema ejecute el archivo infectado.
Para devolver el control al archivo host, el gusano almacena los nombres de los archivos en la clave de registro HKCUAppEventsSchemesApps.DefaultSystemStartWindows, por ejemplo:
C: WIN95calc.exe "gtguqppa.exe"C: WIN95mplayer.exe "xohskvxq.exe"etc
Esta información puede usarse para desinfectar la computadora.
Para detectar archivos ya infectados, el gusano usa la FileVersion que se almacena en los recursos de archivos PE EXE. En archivos infectados, esta variable se establece en "1.3.5.7".
Infectar las unidades locales y de red
El gusano también se copia a sí mismo y se "registra" en las unidades lógicas disponibles: extraíble, fijo y de red. Al infectar archivos extraíbles, el gusano busca el archivo AUTOEXEC.BAT en ellos, agrega una instrucción para ejecutar el archivo PKZIP.EXE al cargar desde la unidad y se copia a la unidad con el nombre de archivo PKZIP.EXE.
Al infectar discos duros, el gusano busca el archivo PKZIP.EXE en los directorios raíz en estas unidades, y se copia a sí mismo con este nombre si dicho archivo no sale allí. Para ejecutar este archivo, el gusano crea el archivo AUTORUN.INF en la unidad y escribe un bloque de instrucciones allí para ejecutar el archivo PKZIP.EXE (copia de gusano) en el siguiente Windows-Tup de Windows:
[ejecución automática]abrir = pkzip.exe
Al infectar una unidad remota, el gusano primero verifica esta unidad para obtener un permiso por escrito. Para hacer esto, el gusano crea el archivo TEMP9385.058 y lo elimina. En caso de que no ocurran errores durante la operación, el gusano continúa propagándose al variador. Se copia allí con el nombre PKZIP.EXE y crea el archivo AUTORUN.INF de la misma forma que afecta a las unidades fijas en la computadora local. Además, el gusano busca directorios de Windows y WinNT en la unidad y registra su copia PKZIP.EXE en el archivo WIN.INI en la instrucción "ejecutar" de [windows]. Esta operación también causa la ejecución de copia de gusano en la próxima puesta en marcha de Windows.
Al infectar las unidades de red, el gusano también destruye varios archivos ejecutables allí, si existen, y los sobrescribe con su copia:
Acrobat3ReaderAcrord32.exeEudora95Eudora.exePrograma FilesMicrosoft OfficeOfficeOutlook.exeArchivos de programaInternet ExplorerIexplore.exePrograma FilesWinZipWinZip32.exePrograma FilesMicrosoft OfficeOfficeWinWord.exePrograma FilesNetscapeProgramNetscape.exe
Infección del cliente mIRC y propagación a través de canales IRC
Esta rutina se ejecuta dependiendo de la hora del sistema, no cada vez que se ejecutan los archivos infectados. Busca el cliente mIRC instalado en el sistema al acceder al archivo de script mIRC en los directorios:
C: MIRCSCRIPT.INIC: MIRC32SCRIPT.INIC: Archivos de programaMIRCSCRIPT.INIC: Archivos de programaMIRC32SCRIPT.INI
Si no existen tales archivos, el gusano deja la rutina de infección. De lo contrario, sobrescribirá el archivo SCRIPT.INI con instrucciones que envían el archivo C: PKZIP.EXE a todos los que ingresan al canal afectado.
Envío de correos electrónicos infectados
Esta rutina se ejecuta dependiendo de la hora del sistema, así como de la rutina de infección mIRC. En primer lugar, el gusano obtiene el nombre del directorio de Eudora accediendo a la clave de registro: SoftwareQualcommEudoraCommandLine. A continuación, el gusano escanea la base de datos de correos salientes de Eudora (los archivos OUT.MBX), obtiene direcciones de allí y las almacena en la lista a la que se enviará el mensaje infectado. Parece que el gusano también agrega la dirección de correo electrónico "support@microsoft.com" a esta lista.
Luego, el gusano prepara el archivo C: USER.MSG que se utilizará para inicializar el sistema sendmail de Eudora. El gusano escribe allí todos los datos necesarios para enviar el mensaje con la conexión infectada:
Para: lista de direcciones del archivo OUT.MBX, más "support@microsoft.com"Asunto: esto es lo que solicitóX-Attachments: c: pkzip.exe;Cuerpo del mensaje:Usted lo había solicitado hace un tiempo, así que aquí está.disfrutar.
A continuación, el gusano abre el archivo C: USER.MSG mediante una función de Windows que activa el sendmail de Eudora.
Robo de archivos de contraseña
Al instalar en el sistema e infectar archivos, el gusano también busca archivos de contraseñas de Windows (archivos .PWL), lee los datos de las contraseñas desde allí y los adjunta al cuerpo del archivo infectado.
El gusano no envía las contraseñas a ninguna dirección de Internet, sino que las mantiene unidas a los archivos infectados. Como resultado, las contraseñas robadas abandonan la computadora solo en caso de que el gusano propague sus copias a los canales de Internet o IRC.
Rutinas de carga útil
El gusano tiene muchas rutinas de carga útil que se activan según la fecha y hora del sistema. El gusano por estas rutinas:
- Detiene la computadora lanzando un número ilimitado de hilos.
- Sobrescribe la clave de registro .DEFAULTSoftwareMicrosoftRegEdt32Settings con el valor "AutoRefresh = 0".
- Cambia la configuración de Internet Explorer. Al reescribir las claves de registro SOFTWAREMicrosoftInternet ExplorerMain, los gusanos establecen la "Página de inicio" en "http://www.whitehouse.com/" y "Página de búsqueda" en "http://www.bigboobies.com", y desactiva la caché de Internet. actualización.
Al reescribir las claves de registro SOFTWAREMicrosoftInternet ExplorerSearchUrl y SOFTWAREMicrosoftInternet ExplorerTypedURLs, el gusano establece la página web "http://www.gayextreme.com/queer/handle-it.html" en la primera posición de las páginas web utilizadas recientemente; establece "SearchURL" en "http://www.fetishrealm.com/fatgirls/pic3.htm";
- Al volver a escribir los conjuntos de claves de registro de SoftwareMirabilisICQBookmarks:
"Página principal" a "http://www.biggfantac.com/terra/index.html","Atención al cliente" a "http://www.pornoparty.net""Menú" a "http://www.gayextreme.com/queer/handle-it.html"
- Elimina todas las claves de
SOFTWAREMicrosoftWindowsCurrentVersionUninstall oSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones
- Establece la configuración de Windows:
RegisteredOwner = "Idiota con un virus"RegisteredOrganization y ProductID = "Registry Rage Virus L1999"
- Crea archivos C: POEM1.TXT o C: POEM2.TXT, escribe uno de los textos allí (ver a continuación) y los abre con NOTEPAD.EXE. Los textos se ven de la siguiente manera:
Ganar para el cuerpo y la mente lo que sea que se adhiera y siga adelantey no es abandonado por la muerte;Infundiré egoísmo y lo mostraré debajo de todo, y seré elbardo de la personalidad,Y mostraré de hombre y mujer que cualquiera de los dos es igual ael otro,Y mostraré que no hay imperfección en el presente, ypuede ser ninguno en el futuro,Y mostraré que pase lo que pase con alguien, puede serhermosos resultados,Y mostraré que nada puede pasar más hermoso que la muerte ...- Walt WhitmanNada divino muere. Todo lo bueno es eternamente reproductivo. La belleza dela naturaleza se reforma a sí misma en la mente, y no por la estéril contemplación,pero para nueva creación.Todos los hombres están en cierta medida impresionados por la faz del mundo; algunos hombresincluso para deleite. Este amor por la belleza es Sabor. Otros tienen el mismo amoren tal exceso, que, no contentos con admirar, buscan encarnaren nuevas formas. La creación de belleza es arte.- Ralph Waldo Emerson
Las rutinas de la carga útil del gusano también borran o modifican la configuración miscelanea de Windows, minimizan las configuraciones de Copia de seguridad y ScanDisk, borran la copia de seguridad del Registro, etc.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com