ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.SysClock

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Se trata de un gusano de Internet (virus del tipo de gusano) que se propaga a través de correos electrónicos, canales IRC, infecta archivos en computadoras locales y se propaga a una red local. También roba las contraseñas del sistema (archivos PWL) de las computadoras infectadas, y tiene muchas rutinas de carga útil inofensivas y peligrosas. El gusano tiene un tamaño aproximado de 80 Kb en el programa Win32 (PE EXE – Portable Executable) escrito en Delphi, el código "puro" del gusano ocupa aproximadamente 20 Kb y el resto es código de la biblioteca del tiempo de ejecución Delphi, datos y la información diversa del programa.

El gusano llega como un correo electrónico con un mensaje falso (ver más abajo) y un archivo adjunto PKZIP.EXE que es el programa gusano. Cuando se ejecuta el gusano, se instala en el sistema, infecta los archivos en una unidad local, infecta las unidades lógicas disponibles, infecta al cliente mIRC instalado y envía correos electrónicos infectados mediante el sistema de correo de Eudora.

Instalando en el sistema

Para instalarse en el sistema, el gusano se copia con el nombre KERNEL.EXE en el directorio de Windows (en máquinas Win95 / 98) o en el directorio de sistema de Windows (en WinNT) y se registra en la clave de ejecución automática del registro del sistema :


SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

El gusano también tiene una rutina de instalación adicional que instala las copias del gusano en todas las unidades disponibles. Esta rutina se describe a continuación.

Infectar una computadora

El gusano puede infectar unos 40 archivos en una computadora e infecta a no más de cuatro archivos en cada ejecución. El gusano infecta archivos en el directorio de Windows:


NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,
SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,
USRMGR.EXE

El gusano infecta programas que están asociados con claves de registro:


SOFTWAREClassesAccess.Application.8 comando shellopen
SOFTWAREClassesAudioCD shellplaycommand
SOFTWAREClassesAVIFile shellplaycommand
SOFTWAREClassescdafile shellplaycommand
SOFTWAREClassesChat shellopencommand
SOFTWAREClientsNewsForte Agent shellopencommand
SOFTWAREClassesExcel.Sheet.8 comando shellopen
SOFTWAREClassesftp shellopencommand
SOFTWAREClassesjuego de estantería silenciosa
SOFTWAREClasseshlpfile shellopencommand
SOFTWAREClassesEudora DefaultIcon
SOFTWAREClassesEudora shellopencommand
SOFTWAREClassesMicrosoft Internet Mail Message shellopencommand
SOFTWAREClassesMicrosoft Internet News Message shellopencommand
SOFTWAREClassesMOVFile shellopencommand
SOFTWAREClassesMsi.Package shellopencommand
SOFTWAREClassespcANYWHERE32 comando shellopen
SOFTWAREClassesQuickView shellopencommand
SOFTWAREClassesRealPlayer.RAM.6 shellopencommand
SOFTWAREClassesWinamp.File shellopencommand
SOFTWAREClassesUnfinished Descargar shellopencommand
SOFTWAREClassesUltraEdit-32 Document shellopencommand
SOFTWAREClassesWhiteboard shellopencommand
SOFTWAREClassesvcard_wab_auto_file shellopencommand
SOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exe
SOFTWAREKasperskyLabComponents102EXEName

Al infectar cada archivo, el gusano usa el método de infección complementario: cambia el nombre de un archivo de víctima con ocho bytes de nombre aleatorio y extensión .EXE (por ejemplo: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) y se coloca con el nombre de archivo original. Como resultado, la copia del gusano se ejecutará cada vez que un usuario o sistema ejecute el archivo infectado.

Para devolver el control al archivo host, el gusano almacena los nombres de los archivos en la clave de registro HKCUAppEventsSchemesApps.DefaultSystemStartWindows, por ejemplo:


C: WIN95calc.exe "gtguqppa.exe"
C: WIN95mplayer.exe "xohskvxq.exe"
etc

Esta información puede usarse para desinfectar la computadora.

Para detectar archivos ya infectados, el gusano usa la FileVersion que se almacena en los recursos de archivos PE EXE. En archivos infectados, esta variable se establece en "1.3.5.7".

Infectar las unidades locales y de red

El gusano también se copia a sí mismo y se "registra" en las unidades lógicas disponibles: extraíble, fijo y de red. Al infectar archivos extraíbles, el gusano busca el archivo AUTOEXEC.BAT en ellos, agrega una instrucción para ejecutar el archivo PKZIP.EXE al cargar desde la unidad y se copia a la unidad con el nombre de archivo PKZIP.EXE.

Al infectar discos duros, el gusano busca el archivo PKZIP.EXE en los directorios raíz en estas unidades, y se copia a sí mismo con este nombre si dicho archivo no sale allí. Para ejecutar este archivo, el gusano crea el archivo AUTORUN.INF en la unidad y escribe un bloque de instrucciones allí para ejecutar el archivo PKZIP.EXE (copia de gusano) en el siguiente Windows-Tup de Windows:


[ejecución automática]
abrir = pkzip.exe

Al infectar una unidad remota, el gusano primero verifica esta unidad para obtener un permiso por escrito. Para hacer esto, el gusano crea el archivo TEMP9385.058 y lo elimina. En caso de que no ocurran errores durante la operación, el gusano continúa propagándose al variador. Se copia allí con el nombre PKZIP.EXE y crea el archivo AUTORUN.INF de la misma forma que afecta a las unidades fijas en la computadora local. Además, el gusano busca directorios de Windows y WinNT en la unidad y registra su copia PKZIP.EXE en el archivo WIN.INI en la instrucción "ejecutar" de [windows]. Esta operación también causa la ejecución de copia de gusano en la próxima puesta en marcha de Windows.

Al infectar las unidades de red, el gusano también destruye varios archivos ejecutables allí, si existen, y los sobrescribe con su copia:


Acrobat3ReaderAcrord32.exe
Eudora95Eudora.exe
Programa FilesMicrosoft OfficeOfficeOutlook.exe
Archivos de programaInternet ExplorerIexplore.exe
Programa FilesWinZipWinZip32.exe
Programa FilesMicrosoft OfficeOfficeWinWord.exe
Programa FilesNetscapeProgramNetscape.exe

Infección del cliente mIRC y propagación a través de canales IRC

Esta rutina se ejecuta dependiendo de la hora del sistema, no cada vez que se ejecutan los archivos infectados. Busca el cliente mIRC instalado en el sistema al acceder al archivo de script mIRC en los directorios:


C: MIRCSCRIPT.INI
C: MIRC32SCRIPT.INI
C: Archivos de programaMIRCSCRIPT.INI
C: Archivos de programaMIRC32SCRIPT.INI

Si no existen tales archivos, el gusano deja la rutina de infección. De lo contrario, sobrescribirá el archivo SCRIPT.INI con instrucciones que envían el archivo C: PKZIP.EXE a todos los que ingresan al canal afectado.

Envío de correos electrónicos infectados

Esta rutina se ejecuta dependiendo de la hora del sistema, así como de la rutina de infección mIRC. En primer lugar, el gusano obtiene el nombre del directorio de Eudora accediendo a la clave de registro: SoftwareQualcommEudoraCommandLine. A continuación, el gusano escanea la base de datos de correos salientes de Eudora (los archivos OUT.MBX), obtiene direcciones de allí y las almacena en la lista a la que se enviará el mensaje infectado. Parece que el gusano también agrega la dirección de correo electrónico "support@microsoft.com" a esta lista.

Luego, el gusano prepara el archivo C: USER.MSG que se utilizará para inicializar el sistema sendmail de Eudora. El gusano escribe allí todos los datos necesarios para enviar el mensaje con la conexión infectada:


Para: lista de direcciones del archivo OUT.MBX, más "support@microsoft.com"
Asunto: esto es lo que solicitó
X-Attachments: c: pkzip.exe;
Cuerpo del mensaje:
Usted lo había solicitado hace un tiempo, así que aquí está.
disfrutar.

A continuación, el gusano abre el archivo C: USER.MSG mediante una función de Windows que activa el sendmail de Eudora.

Robo de archivos de contraseña

Al instalar en el sistema e infectar archivos, el gusano también busca archivos de contraseñas de Windows (archivos .PWL), lee los datos de las contraseñas desde allí y los adjunta al cuerpo del archivo infectado.

El gusano no envía las contraseñas a ninguna dirección de Internet, sino que las mantiene unidas a los archivos infectados. Como resultado, las contraseñas robadas abandonan la computadora solo en caso de que el gusano propague sus copias a los canales de Internet o IRC.

Rutinas de carga útil

El gusano tiene muchas rutinas de carga útil que se activan según la fecha y hora del sistema. El gusano por estas rutinas:

– Detiene la computadora lanzando un número ilimitado de hilos.

– Sobrescribe la clave de registro .DEFAULTSoftwareMicrosoftRegEdt32Settings con el valor "AutoRefresh = 0".

– Cambia la configuración de Internet Explorer. Al reescribir las claves de registro SOFTWAREMicrosoftInternet ExplorerMain, los gusanos establecen la "Página de inicio" en "http://www.whitehouse.com/" y "Página de búsqueda" en "http://www.bigboobies.com", y desactiva la caché de Internet. actualización.

Al reescribir las claves de registro SOFTWAREMicrosoftInternet ExplorerSearchUrl y SOFTWAREMicrosoftInternet ExplorerTypedURLs, el gusano establece la página web "http://www.gayextreme.com/queer/handle-it.html" en la primera posición de las páginas web utilizadas recientemente; establece "SearchURL" en "http://www.fetishrealm.com/fatgirls/pic3.htm";

– Al volver a escribir los conjuntos de claves de registro de SoftwareMirabilisICQBookmarks:


"Página principal" a "http://www.biggfantac.com/terra/index.html",
"Atención al cliente" a "http://www.pornoparty.net"
"Menú" a "http://www.gayextreme.com/queer/handle-it.html"

– Elimina todas las claves de


SOFTWAREMicrosoftWindowsCurrentVersionUninstall o
SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones

– Establece la configuración de Windows:


RegisteredOwner = "Idiota con un virus"
RegisteredOrganization y ProductID = "Registry Rage Virus L1999"

– Crea archivos C: POEM1.TXT o C: POEM2.TXT, escribe uno de los textos allí (ver a continuación) y los abre con NOTEPAD.EXE. Los textos se ven de la siguiente manera:


Ganar para el cuerpo y la mente lo que sea que se adhiera y siga adelante
y no es abandonado por la muerte;
Infundiré egoísmo y lo mostraré debajo de todo, y seré el
bardo de la personalidad,
Y mostraré de hombre y mujer que cualquiera de los dos es igual a
el otro,
Y mostraré que no hay imperfección en el presente, y
puede ser ninguno en el futuro,
Y mostraré que pase lo que pase con alguien, puede ser
hermosos resultados,
Y mostraré que nada puede pasar más hermoso que la muerte …
– Walt Whitman
Nada divino muere. Todo lo bueno es eternamente reproductivo. La belleza de
la naturaleza se reforma a sí misma en la mente, y no por la estéril contemplación,
pero para nueva creación.
Todos los hombres están en cierta medida impresionados por la faz del mundo; algunos hombres
incluso para deleite. Este amor por la belleza es Sabor. Otros tienen el mismo amor
en tal exceso, que, no contentos con admirar, buscan encarnar
en nuevas formas. La creación de belleza es arte.
– Ralph Waldo Emerson

Las rutinas de la carga útil del gusano también borran o modifican la configuración miscelanea de Windows, minimizan las configuraciones de Copia de seguridad y ScanDisk, borran la copia de seguridad del Registro, etc.


Enlace al original