Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: I-Worm.3Dstars. Aún con errores, una amenaza
 
VSantivirus No. 138 - Año 4 - Jueves 23 de noviembre de 2000

Nombre: I-Worm.3DStars
Tipo: Gusano de Internet y Trojan Backdoor

Se trata de un gusano de Internet, que se propaga via e-mail, en un adjunto en formato EXE. El gusano es un ejecutable escrito en Visual Basic, de unos 70 Kb. Posee muchos errores, y bajo ciertas condiciones en la configuración de la PC infectada, no funciona correctamente. Por ejemplo, el adjunto no es agregado en los mensajes que envía o el texto del mismo se verá corrupto.

Para propagarse, el gusano utiliza el Outlook, toma las direcciones electrónicas de su libreta y de la libreta de Windows, y les envía a estas los mensajes infectados. Además envía un mensaje infectado a vb.master@angelfire.com cada vez que su rutina se ejecuta.

Los mensajes generados (al azar) deberían mostrarse como se indica (el resultado final no es así, debido a un error en su código). Donde se muestra [%CurrentDate%] deberá aparecer la fecha del momento en que se genera el mensaje:

Asunto: Hey, now we can talk with this.. :-)
Cuerpo del mensaje:
Hello
I wrote a new messenger, so that we can talk with it.
Install the self extractable zip attached


Asunto: My movie clips..
Cuerpo del mensaje:
Hiii
I got a webcam, and I captured few movie clips of me. Extract the attached self extractable, to see them.


Asunto: A lil naughty stuff..
Cuerpo del mensaje:
Hey..
I got few great, erotic movie clips included in the self extractable


Asunto: I downloaded these MP3s yesterday..
Cuerpo del mensaje:
Howdy..
Hey, they r really great.. Extract the selfextractable zip to see them..


Asunto: Just a little naughty stuff from me..
Cuerpo del mensaje:
Hehehe..
See the cake I prepared for you.. bye 4 now buddy..


Asunto: Virus Warning..
Cuerpo del mensaje:
Hey, take care..
Forward this mail to everyone you know. Today, [%CurrentDate%] FBI announced that a serious virus is spreading. It is a file with a .VBS extension, much like Love Bug. See the zip for it


Asunto: A Business Issue..
Cuerpo del mensaje:
Sir,
My company is interested in the opportunities of creating a new partnership with you. The presentation is attached, kindly see it and reply soon.


Asunto: Legal Notice..
Cuerpo del mensaje:
Sir/Madam
We are forced by our client to forward a legal notice to you dated [%CurrentDate%]. Kindly see the attached details, and reply as soon as possible


Asunto: Greeting Card 4 You..
Cuerpo del mensaje:
Greeeeetings..
Hope you are doing fine. See the ECard attached 4 you..

Note la variedad de temas (asunto y texto) con los que se envía.

La infección se produce al ejecutar el adjunto (doble clic sobre el archivo). Entonces el gusano se copia a si mismo a las carpetas Windows y Windows\System, usando los nombres SYSTRAY.EXE y SYSCHECK.EXE, y luego modifica las siguientes claves del registro para ejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemTray = C:\Windows\SysTray.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemCheck = C:\Windows\SysCheck.exe

IMPORTANTE: Existe un archivo SYSTRAY.EXE en Windows, pero el mismo está ubicado en C:\Windows\System, no en C:\Windows, donde se copia el gusano. Tenga cuidado si desea borrar el código del gusano manualmente.

Para esconder su actividad, el gusano despliega una ventana con este mensaje:

Microsoft Windows
The application (Aquí va el nombre del archivo recibido) 
caused a general protection fault in module Kernel.exe, and 
it will be terminated. Press OK to continue
[ OK ]

El día 4 de cualquier mes, si el gusano se ejecuta entre las 0.00 horas y las 5.00 de la mañana, el mismo borrará el archivo C:\AUTOEXEC.BAT, y todos los archivos de "C:\Mis Documentos" y todos los *.DLL en la carpeta "C:\Windows". También muestra este mensaje:

Please wait while setup update files. This may take a few minutes..
Now loading Windows..

El gusano también incorpora una "puerta trasera" (backdoor), que permite el acceso a la computadora infectada via remota. Esta rutina permite estas acciones:

 - Reportar las unidades del sistema, directorios y archivos
 - Leer, escribir, copiar o borrar un archivo
 - Cambiar, crear o borrar un directorio
 - Leer y escribir en el registro
 - Enviar correo electrónico a direcciones especificadas
 - Ejecutar un archivo
 - Forzar el cierre de Windows

El gusano contiene el texto "3DStars server".

Nada impide que futuras versiones puedan corregir los errores mencionados, y perfeccionar sus rutinas "backdoor".

Fuente: Kaspersky Lab (AVP)

 

Copyright 1996-2000 Video Soft BBS