Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Se trata de un gusano de Internet (virus del tipo de gusano) que se propaga a través de correos electrónicos, canales IRC, infecta archivos en computadoras locales y se propaga a una red local. También roba las contraseñas del sistema (archivos PWL) de las computadoras infectadas, y tiene muchas rutinas de carga útil inofensivas y peligrosas. El gusano tiene un tamaño aproximado de 80 Kb en el programa Win32 (PE EXE – Portable Executable) escrito en Delphi, el código "puro" del gusano ocupa aproximadamente 20 Kb y el resto es código de la biblioteca del tiempo de ejecución Delphi, datos y la información diversa del programa.

El gusano llega como un correo electrónico con un mensaje falso (ver más abajo) y un archivo adjunto PKZIP.EXE que es el programa gusano. Cuando se ejecuta el gusano, se instala en el sistema, infecta los archivos en una unidad local, infecta las unidades lógicas disponibles, infecta al cliente mIRC instalado y envía correos electrónicos infectados mediante el sistema de correo de Eudora.

Instalando en el sistema

Para instalarse en el sistema, el gusano se copia con el nombre KERNEL.EXE en el directorio de Windows (en máquinas Win95 / 98) o en el directorio de sistema de Windows (en WinNT) y se registra en la clave de ejecución automática del registro del sistema :



SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

El gusano también tiene una rutina de instalación adicional que instala las copias del gusano en todas las unidades disponibles. Esta rutina se describe a continuación.

Infectar una computadora

El gusano puede infectar unos 40 archivos en una computadora e infecta a no más de cuatro archivos en cada ejecución. El gusano infecta archivos en el directorio de Windows:



NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,

SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,

USRMGR.EXE

El gusano infecta programas que están asociados con claves de registro:



SOFTWAREClassesAccess.Application.8 comando shellopen

SOFTWAREClassesAudioCD shellplaycommand

SOFTWAREClassesAVIFile shellplaycommand

SOFTWAREClassescdafile shellplaycommand

SOFTWAREClassesChat shellopencommand

SOFTWAREClientsNewsForte Agent shellopencommand

SOFTWAREClassesExcel.Sheet.8 comando shellopen

SOFTWAREClassesftp shellopencommand

SOFTWAREClassesjuego de estantería silenciosa

SOFTWAREClasseshlpfile shellopencommand

SOFTWAREClassesEudora DefaultIcon

SOFTWAREClassesEudora shellopencommand

SOFTWAREClassesMicrosoft Internet Mail Message shellopencommand

SOFTWAREClassesMicrosoft Internet News Message shellopencommand

SOFTWAREClassesMOVFile shellopencommand

SOFTWAREClassesMsi.Package shellopencommand

SOFTWAREClassespcANYWHERE32 comando shellopen

SOFTWAREClassesQuickView shellopencommand

SOFTWAREClassesRealPlayer.RAM.6 shellopencommand

SOFTWAREClassesWinamp.File shellopencommand

SOFTWAREClassesUnfinished Descargar shellopencommand

SOFTWAREClassesUltraEdit-32 Document shellopencommand

SOFTWAREClassesWhiteboard shellopencommand

SOFTWAREClassesvcard_wab_auto_file shellopencommand

SOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exe

SOFTWAREKasperskyLabComponents102EXEName

Al infectar cada archivo, el gusano usa el método de infección complementario: cambia el nombre de un archivo de víctima con ocho bytes de nombre aleatorio y extensión .EXE (por ejemplo: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) y se coloca con el nombre de archivo original. Como resultado, la copia del gusano se ejecutará cada vez que un usuario o sistema ejecute el archivo infectado.

Para devolver el control al archivo host, el gusano almacena los nombres de los archivos en la clave de registro HKCUAppEventsSchemesApps.DefaultSystemStartWindows, por ejemplo:



C: WIN95calc.exe "gtguqppa.exe"

C: WIN95mplayer.exe "xohskvxq.exe"

etc

Esta información puede usarse para desinfectar la computadora.

Para detectar archivos ya infectados, el gusano usa la FileVersion que se almacena en los recursos de archivos PE EXE. En archivos infectados, esta variable se establece en "1.3.5.7".

Infectar las unidades locales y de red

El gusano también se copia a sí mismo y se "registra" en las unidades lógicas disponibles: extraíble, fijo y de red. Al infectar archivos extraíbles, el gusano busca el archivo AUTOEXEC.BAT en ellos, agrega una instrucción para ejecutar el archivo PKZIP.EXE al cargar desde la unidad y se copia a la unidad con el nombre de archivo PKZIP.EXE.

Al infectar discos duros, el gusano busca el archivo PKZIP.EXE en los directorios raíz en estas unidades, y se copia a sí mismo con este nombre si dicho archivo no sale allí. Para ejecutar este archivo, el gusano crea el archivo AUTORUN.INF en la unidad y escribe un bloque de instrucciones allí para ejecutar el archivo PKZIP.EXE (copia de gusano) en el siguiente Windows-Tup de Windows:



[ejecución automática]

abrir = pkzip.exe

Al infectar una unidad remota, el gusano primero verifica esta unidad para obtener un permiso por escrito. Para hacer esto, el gusano crea el archivo TEMP9385.058 y lo elimina. En caso de que no ocurran errores durante la operación, el gusano continúa propagándose al variador. Se copia allí con el nombre PKZIP.EXE y crea el archivo AUTORUN.INF de la misma forma que afecta a las unidades fijas en la computadora local. Además, el gusano busca directorios de Windows y WinNT en la unidad y registra su copia PKZIP.EXE en el archivo WIN.INI en la instrucción "ejecutar" de [windows]. Esta operación también causa la ejecución de copia de gusano en la próxima puesta en marcha de Windows.

Al infectar las unidades de red, el gusano también destruye varios archivos ejecutables allí, si existen, y los sobrescribe con su copia:



Acrobat3ReaderAcrord32.exe

Eudora95Eudora.exe

Programa FilesMicrosoft OfficeOfficeOutlook.exe

Archivos de programaInternet ExplorerIexplore.exe

Programa FilesWinZipWinZip32.exe

Programa FilesMicrosoft OfficeOfficeWinWord.exe

Programa FilesNetscapeProgramNetscape.exe

Infección del cliente mIRC y propagación a través de canales IRC

Esta rutina se ejecuta dependiendo de la hora del sistema, no cada vez que se ejecutan los archivos infectados. Busca el cliente mIRC instalado en el sistema al acceder al archivo de script mIRC en los directorios:



C: MIRCSCRIPT.INI

C: MIRC32SCRIPT.INI

C: Archivos de programaMIRCSCRIPT.INI

C: Archivos de programaMIRC32SCRIPT.INI

Si no existen tales archivos, el gusano deja la rutina de infección. De lo contrario, sobrescribirá el archivo SCRIPT.INI con instrucciones que envían el archivo C: PKZIP.EXE a todos los que ingresan al canal afectado.

Envío de correos electrónicos infectados

Esta rutina se ejecuta dependiendo de la hora del sistema, así como de la rutina de infección mIRC. En primer lugar, el gusano obtiene el nombre del directorio de Eudora accediendo a la clave de registro: SoftwareQualcommEudoraCommandLine. A continuación, el gusano escanea la base de datos de correos salientes de Eudora (los archivos OUT.MBX), obtiene direcciones de allí y las almacena en la lista a la que se enviará el mensaje infectado. Parece que el gusano también agrega la dirección de correo electrónico "support@microsoft.com" a esta lista.

Luego, el gusano prepara el archivo C: USER.MSG que se utilizará para inicializar el sistema sendmail de Eudora. El gusano escribe allí todos los datos necesarios para enviar el mensaje con la conexión infectada:



Para: lista de direcciones del archivo OUT.MBX, más "support@microsoft.com"

Asunto: esto es lo que solicitó

X-Attachments: c: pkzip.exe;

Cuerpo del mensaje:

Usted lo había solicitado hace un tiempo, así que aquí está.

disfrutar.

A continuación, el gusano abre el archivo C: USER.MSG mediante una función de Windows que activa el sendmail de Eudora.

Robo de archivos de contraseña

Al instalar en el sistema e infectar archivos, el gusano también busca archivos de contraseñas de Windows (archivos .PWL), lee los datos de las contraseñas desde allí y los adjunta al cuerpo del archivo infectado.

El gusano no envía las contraseñas a ninguna dirección de Internet, sino que las mantiene unidas a los archivos infectados. Como resultado, las contraseñas robadas abandonan la computadora solo en caso de que el gusano propague sus copias a los canales de Internet o IRC.

Rutinas de carga útil

El gusano tiene muchas rutinas de carga útil que se activan según la fecha y hora del sistema. El gusano por estas rutinas:

– Detiene la computadora lanzando un número ilimitado de hilos.

– Sobrescribe la clave de registro .DEFAULTSoftwareMicrosoftRegEdt32Settings con el valor "AutoRefresh = 0".

– Cambia la configuración de Internet Explorer. Al reescribir las claves de registro SOFTWAREMicrosoftInternet ExplorerMain, los gusanos establecen la "Página de inicio" en "http://www.whitehouse.com/" y "Página de búsqueda" en "http://www.bigboobies.com", y desactiva la caché de Internet. actualización.

Al reescribir las claves de registro SOFTWAREMicrosoftInternet ExplorerSearchUrl y SOFTWAREMicrosoftInternet ExplorerTypedURLs, el gusano establece la página web "http://www.gayextreme.com/queer/handle-it.html" en la primera posición de las páginas web utilizadas recientemente; establece "SearchURL" en "http://www.fetishrealm.com/fatgirls/pic3.htm";

– Al volver a escribir los conjuntos de claves de registro de SoftwareMirabilisICQBookmarks:



"Página principal" a "http://www.biggfantac.com/terra/index.html",

"Atención al cliente" a "http://www.pornoparty.net"

"Menú" a "http://www.gayextreme.com/queer/handle-it.html"

– Elimina todas las claves de



SOFTWAREMicrosoftWindowsCurrentVersionUninstall o

SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones

– Establece la configuración de Windows:



RegisteredOwner = "Idiota con un virus"

RegisteredOrganization y ProductID = "Registry Rage Virus L1999"

– Crea archivos C: POEM1.TXT o C: POEM2.TXT, escribe uno de los textos allí (ver a continuación) y los abre con NOTEPAD.EXE. Los textos se ven de la siguiente manera:



Ganar para el cuerpo y la mente lo que sea que se adhiera y siga adelante

y no es abandonado por la muerte;

Infundiré egoísmo y lo mostraré debajo de todo, y seré el

bardo de la personalidad,

Y mostraré de hombre y mujer que cualquiera de los dos es igual a

el otro,

Y mostraré que no hay imperfección en el presente, y

puede ser ninguno en el futuro,

Y mostraré que pase lo que pase con alguien, puede ser

hermosos resultados,

Y mostraré que nada puede pasar más hermoso que la muerte …

– Walt Whitman

Nada divino muere. Todo lo bueno es eternamente reproductivo. La belleza de

la naturaleza se reforma a sí misma en la mente, y no por la estéril contemplación,

pero para nueva creación.

Todos los hombres están en cierta medida impresionados por la faz del mundo; algunos hombres

incluso para deleite. Este amor por la belleza es Sabor. Otros tienen el mismo amor

en tal exceso, que, no contentos con admirar, buscan encarnar

en nuevas formas. La creación de belleza es arte.

– Ralph Waldo Emerson

Las rutinas de la carga útil del gusano también borran o modifican la configuración miscelanea de Windows, minimizan las configuraciones de Copia de seguridad y ScanDisk, borran la copia de seguridad del Registro, etc.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Se trata de un gusano de Internet (virus del tipo de gusano) que se propaga a través de correos electrónicos, canales IRC, infecta archivos en computadoras locales y se propaga a una red local. También roba las contraseñas del sistema (archivos PWL) de las computadoras infectadas, y tiene muchas rutinas de carga útil inofensivas y peligrosas. El gusano tiene un tamaño aproximado de 80 Kb en el programa Win32 (PE EXE – Portable Executable) escrito en Delphi, el código "puro" del gusano ocupa aproximadamente 20 Kb y el resto es código de la biblioteca del tiempo de ejecución Delphi, datos y la información diversa del programa. El gusano llega como un correo electrónico con un mensaje falso (ver más abajo) y un archivo adjunto PKZIP.EXE que es el programa gusano. Cuando se ejecuta el gusano, se instala en el sistema, infecta los archivos en una unidad local, infecta las unidades lógicas disponibles, infecta al cliente mIRC instalado y envía correos electrónicos infectados mediante el sistema de correo de Eudora. Instalando en el sistema Para instalarse en el sistema, el gusano se copia con el nombre KERNEL.EXE en el directorio de Windows (en máquinas Win95 / 98) o en el directorio de sistema de Windows (en WinNT) y se registra en la clave de ejecución automática del registro del sistema : SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe El gusano también tiene una rutina de instalación adicional que instala las copias del gusano en todas las unidades disponibles. Esta rutina se describe a continuación. Infectar una computadora El gusano puede infectar unos 40 archivos en una computadora e infecta a no más de cuatro archivos en cada ejecución. El gusano infecta archivos en el directorio de Windows: NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE, SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE, USRMGR.EXE El gusano infecta programas que están asociados con claves de registro: SOFTWAREClassesAccess.Application.8 comando shellopen SOFTWAREClassesAudioCD shellplaycommand SOFTWAREClassesAVIFile shellplaycommand SOFTWAREClassescdafile shellplaycommand SOFTWAREClassesChat shellopencommand SOFTWAREClientsNewsForte Agent shellopencommand SOFTWAREClassesExcel.Sheet.8 comando shellopen SOFTWAREClassesftp shellopencommand SOFTWAREClassesjuego de estantería silenciosa SOFTWAREClasseshlpfile shellopencommand SOFTWAREClassesEudora DefaultIcon SOFTWAREClassesEudora shellopencommand SOFTWAREClassesMicrosoft Internet Mail Message shellopencommand SOFTWAREClassesMicrosoft Internet News Message shellopencommand SOFTWAREClassesMOVFile shellopencommand SOFTWAREClassesMsi.Package shellopencommand SOFTWAREClassespcANYWHERE32 comando shellopen SOFTWAREClassesQuickView shellopencommand SOFTWAREClassesRealPlayer.RAM.6 shellopencommand SOFTWAREClassesWinamp.File shellopencommand SOFTWAREClassesUnfinished Descargar shellopencommand SOFTWAREClassesUltraEdit-32 Document shellopencommand SOFTWAREClassesWhiteboard shellopencommand SOFTWAREClassesvcard_wab_auto_file shellopencommand SOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exe SOFTWAREKasperskyLabComponents102EXEName Al infectar cada archivo, el gusano usa el método de infección complementario: cambia el nombre de un archivo de víctima con ocho bytes de nombre aleatorio y extensión .EXE (por ejemplo: GTGUQPPA.EXE, XOHSKVXQ.EXE, etc.) y se coloca con el nombre de archivo original. Como resultado, la copia del gusano se ejecutará cada vez que un usuario o sistema ejecute el archivo infectado. Para devolver el control al archivo host, el gusano almacena los nombres de los archivos en la clave de registro HKCUAppEventsSchemesApps.DefaultSystemStartWindows, por ejemplo: C: WIN95calc.exe "gtguqppa.exe" C: WIN95mplayer.exe "xohskvxq.exe" etc Esta información puede usarse para desinfectar la computadora. Para detectar archivos ya infectados, el gusano usa la FileVersion que se almacena en los recursos de archivos PE EXE. En archivos infectados, esta variable se establece en "1.3.5.7". Infectar las unidades locales y de red El gusano también se copia a sí mismo y se "registra" en las unidades lógicas disponibles: extraíble, fijo y de red. Al infectar archivos extraíbles, el gusano busca el archivo AUTOEXEC.BAT en ellos, agrega una instrucción para ejecutar el archivo PKZIP.EXE al cargar desde la unidad y se copia a la unidad con el nombre de archivo PKZIP.EXE. Al infectar discos duros, el gusano busca el archivo PKZIP.EXE en los directorios raíz en estas unidades, y se copia a sí mismo con este nombre si dicho archivo no sale allí. Para ejecutar este archivo, el gusano crea el archivo AUTORUN.INF en la unidad y escribe un bloque de instrucciones allí para ejecutar el archivo PKZIP.EXE (copia de gusano) en el siguiente Windows-Tup de Windows: [ejecución automática] abrir = pkzip.exe Al infectar una unidad remota, el gusano primero verifica esta unidad para obtener un permiso por escrito. Para hacer esto, el gusano crea el archivo TEMP9385.058 y lo elimina. En caso de que no ocurran errores durante la operación, el gusano continúa propagándose al variador. Se copia allí con el nombre PKZIP.EXE y crea el archivo AUTORUN.INF de la misma forma que afecta a las unidades fijas en la computadora local. Además, el gusano busca directorios de Windows y WinNT en la unidad y registra su copia PKZIP.EXE en el archivo WIN.INI en la instrucción "ejecutar" de [windows]. Esta operación también causa la ejecución de copia de gusano en la próxima puesta en marcha de Windows. Al infectar las unidades de red, el gusano también destruye varios archivos ejecutables allí, si existen, y los sobrescribe con su copia: Acrobat3ReaderAcrord32.exe Eudora95Eudora.exe Programa FilesMicrosoft OfficeOfficeOutlook.exe Archivos de programaInternet ExplorerIexplore.exe Programa FilesWinZipWinZip32.exe Programa FilesMicrosoft OfficeOfficeWinWord.exe Programa FilesNetscapeProgramNetscape.exe Infección del cliente mIRC y propagación a través de canales IRC Esta rutina se ejecuta dependiendo de la hora del sistema, no cada vez que se ejecutan los archivos infectados. Busca el cliente mIRC instalado en el sistema al acceder al archivo de script mIRC en los directorios: C: MIRCSCRIPT.INI C: MIRC32SCRIPT.INI C: Archivos de programaMIRCSCRIPT.INI C: Archivos de programaMIRC32SCRIPT.INI Si no existen tales archivos, el gusano deja la rutina de infección. De lo contrario, sobrescribirá el archivo SCRIPT.INI con instrucciones que envían el archivo C: PKZIP.EXE a todos los que ingresan al canal afectado. Envío de correos electrónicos infectados Esta rutina se ejecuta dependiendo de la hora del sistema, así como de la rutina de infección mIRC. En primer lugar, el gusano obtiene el nombre del directorio de Eudora accediendo a la clave de registro: SoftwareQualcommEudoraCommandLine. A continuación, el gusano escanea la base de datos de correos salientes de Eudora (los archivos OUT.MBX), obtiene direcciones de allí y las almacena en la lista a la que se enviará el mensaje infectado. Parece que el gusano también agrega la dirección de correo electrónico "support@microsoft.com" a esta lista. Luego, el gusano prepara el archivo C: USER.MSG que se utilizará para inicializar el sistema sendmail de Eudora. El gusano escribe allí todos los datos necesarios para enviar el mensaje con la conexión infectada: Para: lista de direcciones del archivo OUT.MBX, más "support@microsoft.com" Asunto: esto es lo que solicitó X-Attachments: c: pkzip.exe; Cuerpo del mensaje: Usted lo había solicitado hace un tiempo, así que aquí está. disfrutar. A continuación, el gusano abre el archivo C: USER.MSG mediante una función de Windows que activa el sendmail de Eudora. Robo de archivos de contraseña Al instalar en el sistema e infectar archivos, el gusano también busca archivos de contraseñas de Windows (archivos .PWL), lee los datos de las contraseñas desde allí y los adjunta al cuerpo del archivo infectado. El gusano no envía las contraseñas a ninguna dirección de Internet, sino que las mantiene unidas a los archivos infectados. Como resultado, las contraseñas robadas abandonan la computadora solo en caso de que el gusano propague sus copias a los canales de Internet o IRC. Rutinas de carga útil El gusano tiene muchas rutinas de carga útil que se activan según la fecha y hora del sistema. El gusano por estas rutinas: – Detiene la computadora lanzando un número ilimitado de hilos. – Sobrescribe la clave de registro .DEFAULTSoftwareMicrosoftRegEdt32Settings con el valor "AutoRefresh = 0". – Cambia la configuración de Internet Explorer. Al reescribir las claves de registro SOFTWAREMicrosoftInternet ExplorerMain, los gusanos establecen la "Página de inicio" en "http://www.whitehouse.com/" y "Página de búsqueda" en "http://www.bigboobies.com", y desactiva la caché de Internet. actualización. Al reescribir las claves de registro SOFTWAREMicrosoftInternet ExplorerSearchUrl y SOFTWAREMicrosoftInternet ExplorerTypedURLs, el gusano establece la página web "http://www.gayextreme.com/queer/handle-it.html" en la primera posición de las páginas web utilizadas recientemente; establece "SearchURL" en "http://www.fetishrealm.com/fatgirls/pic3.htm"; – Al volver a escribir los conjuntos de claves de registro de SoftwareMirabilisICQBookmarks: "Página principal" a "http://www.biggfantac.com/terra/index.html", "Atención al cliente" a "http://www.pornoparty.net" "Menú" a "http://www.gayextreme.com/queer/handle-it.html" – Elimina todas las claves de SOFTWAREMicrosoftWindowsCurrentVersionUninstall o SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones – Establece la configuración de Windows: RegisteredOwner = "Idiota con un virus" RegisteredOrganization y ProductID = "Registry Rage Virus L1999" – Crea archivos C: POEM1.TXT o C: POEM2.TXT, escribe uno de los textos allí (ver a continuación) y los abre con NOTEPAD.EXE. Los textos se ven de la siguiente manera: Ganar para el cuerpo y la mente lo que sea que se adhiera y siga adelante y no es abandonado por la muerte; Infundiré egoísmo y lo mostraré debajo de todo, y seré el bardo de la personalidad, Y mostraré de hombre y mujer que cualquiera de los dos es igual a el otro, Y mostraré que no hay imperfección en el presente, y puede ser ninguno en el futuro, Y mostraré que pase lo que pase con alguien, puede ser hermosos resultados, Y mostraré que nada puede pasar más hermoso que la muerte … – Walt Whitman Nada divino muere. Todo lo bueno es eternamente reproductivo. La belleza de la naturaleza se reforma a sí misma en la mente, y no por la estéril contemplación, pero para nueva creación. Todos los hombres están en cierta medida impresionados por la faz del mundo; algunos hombres incluso para deleite. Este amor por la belleza es Sabor. Otros tienen el mismo amor en tal exceso, que, no contentos con admirar, buscan encarnar en nuevas formas. La creación de belleza es arte. – Ralph Waldo Emerson Las rutinas de la carga útil del gusano también borran o modifican la configuración miscelanea de Windows, minimizan las configuraciones de Copia de seguridad y ScanDisk, borran la copia de seguridad del Registro, etc.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.SysClock