VSantivirus No. 597 - Año 6 - Domingo 24 de febrero de 2002
W32/Alcarys.B. Nueva variante con capacidad destructiva
http://www.vsantivirus.com/alcarys-b.htm
Nombre: W32/Alcarys.B
Tipo: Gusano de Internet
Alias: W32.Alcarys.B@mm
Fecha: 23/feb/02
Tamaño: 16,384 bytes
La nueva variante del Alcarys, además de poder propagarse a todos los contactos de la libreta de direcciones del usuario infectado, posee rutinas destructivas que sobrescriben numerosos archivos del sistema, causando el crash de Windows. Además, luego de una infección, la única manera de acceder a la computadora podría ser a través de un inicio desde MS-DOS.
El gusano borra todos los archivos con extensiones .SCR y
.COM, además de sobrescribir archivos como REGEDIT.EXE, REGSVR32.EXE y
SCANREGW.EXE.
También puede modificar el archivo SCRIPT.INI correspondiente al programa
mIRC. Si éste se haya presente en la máquina infectada. De ese modo, también utiliza ese programa para propagarse a través de los canales de IRC.
La forma de actuar del gusano, hace que en una máquina infectada el rendimiento de Windows sea cada vez más pobre.
Debido al borrado de REGEDIT.EXE, el software entra en un bucle infinito, pudiendo llegar al bloqueo y cuelgue de Windows.
Cuando se ejecuta, el gusano se copia a si mismo a las siguientes ubicaciones:
C:\WINDOWS\SYSTEM\REGSVR32.EXE
C:\WINDOWS\Desktop\win.exe
C:\WINDOWS\Desktop\Top Secret\clickme.exe
C:\WINDOWS\SendTo\Oceans11\watchme.exe
C:\WINDOWS\Favorites\A Beautiful Mind\watchme.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\scanregw.exe
C:\WINDOWS\tuneup.exe
C:\WINDOWS\rundll64.exe
C:\WINDOWS\windows.exe
C:\disney.scr
C:\file1980.com
C:\hacktool.co_
C:\movie.exe
C:\msmsgs.exe
C:\porno.scr
C:\screenxx.scr
C:\windows.exe
C:\windows.scr
C:\winstart.com
C:\Program Files\CurlySoft\viewer.dll
C:\Program Files\CurlySoft\pornview.exe
C:\Program Files\XXX Files\clickme.exe
C:\Recycled\alco.com
También sobrescribe (haciendo imposible su recuperación), todos los archivos
.SCR.
Crea un directorio FILES en Windows (C:\WINDOWS\FILES), dentro del cuál se copia él mismo con nombres como
FILE###.###.EXE donde los caracteres # representan cualquier número.
También sobrescribe todos los archivos con extensiones .HTM
y .HTML con un código HTML que simplemente ejecuta al gusano.
También libera un archivo HTML en el raíz de C:
C:\blank.html
Otra de las acciones del gusano es intentar descargar y ejecutar un archivo desde la página del creador del virus (esto abre enormes posibilidades destructivas al gusano, debido a la posible naturaleza del software que podría ser descargado y ejecutado en la máquina infectada).
El gusano también sobrescribe todos los documentos creados con Excel y Word, copiando en ellos el contenido de los siguientes archivos, creados por el virus:
C:\XXXMOVIE.XLS
C:\WINDOWS\NEWDOCUMENT.DOC
Gracias al código contenido en ellos, ambos pueden enviar mensajes de correo electrónico a todos los contactos de la libreta de direcciones de Windows.
Estos mensajes poseen estas características:
Cuando son enviados por el archivo de Excel (XXXMOVIE.XLS):
Asunto: Nice Embedded Object
Texto: Check out the embedded object in the excel sheet...
Datos adjuntos: (4 archivos seleccionados al azar)
Los adjuntos pueden variar entre cada infección. Incluso cualquier archivo que ha sido borrado puede ser adjuntado al mensaje enviado.
Si en cambio la acción se produce desde el archivo de Word (NEWDOCUMENT.DOC), estas son las características del mensaje:
Asunto: Nice Embedded Object
Texto: Check out the embedded object in the word document...
Datos adjuntos: (seleccionados al azar)
Los archivos adjuntos (en grupos de 4) pueden variar, siendo posible también el envío de un archivo adjunto que haya sido borrado o rechazado antes.
El código fuente del componente de macro es primero copiado a los archivos:
C:\xls.wps
C:\doc.wps
C:\nor.wps
También crea los siguientes documentos infectados:
C:\porno.doc
C:\xxxmovie.xls
C:\windows\newdocument.doc
El gusano también crea los siguientes archivos:
a. C:\v.vbs - Este es un simple script que espera hasta que un archivo ha sido descargado y entonces envía una secuencia clave a dicha
aplicación.
b. C:\v.reg - Un archivo con las modificaciones hechas al registro
c. C:\acs.acs - Un TXT sencillo que contiene el mensaje: "another one bites the dust".
d. C:\Windows\tmpdelis.bat - Un archivo BATCH con las instrucciones para copiar el archivo
C:\program files\curlysoft\viewer.dll como c:\program files\curlysoft\run.com
También puede insertar la información del archivo b (V.REG) en el registro de windows.
Finalmente, ejecuta el archivo C:\file1980.com
El gusano crea los siguientes accesos directos en el escritorio:
New Document.lnk (acceso directo para C:\WINDOWS\newdocument.doc)
Tips On How To Make Your Partner Wilder.lnk (acceso directo para C:\xxxmovie.xls)
Porn Viewer version 1.01.lnk (acceso directo para C:\Program Files\Curlysoft\pornview.exe)
ExecuteMe.lnk (acceso directo a C:\WINDOWS\rundll64.exe
mailme.lnk (acceso directo para enviar mensajes al autor del virus).
El gusano también modifica las siguientes claves del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Rundll64 = c:\windows\rundll64.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Update =
C:\WINDOWS\Start Menu\Programs\Windows Update\file###.###.exe
Regedit = C:\windows\regedit.exe
HKEY_CLASSES_ROOT\mp3file\shell\open\command
(Predeterminado) = c:\windows\scanregw.exe
Configure los valores por defecto a las siguientes entradas:
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
(Predeterminado) = c:\windows\system\regsvr32.exe
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command
(Predeterminado) = c:\windows\tuneup.exe
HKEY_CLASSES_ROOT\mp3file\shell\play\command
(Predeterminado) = c:\windows\system\regsvr32.exe
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
(Predeterminado) = c:\windows\scanregw.exe
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command
(Predeterminado) = c:\windows\tuneup.exe
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Predeterminado) = c:\recycled\alco.com
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*Windows = c:\windows\windows.exe
MSMSGS = c:\msmsgs.exe
El gusano, también intenta propagarse utilizando el programa
mIRC como ya vimos. Para ello modifica el archivo de control
SCRIPT.INI, si este se encuentra en la máquina infectada.
El gusano se reenvía también a todos los contactos de la libreta de direcciones. Los mensajes enviados tienen estas características:
a. Uno de los siguientes asuntos :
i've got cool stuffs here...
nice stuffs i got here...
check this out...
i want you to know how much i care for you...
hello! i'm your long, lost friend...
talk to me... tell me your name...
kindness is a virtue...
b. Uno de los siguientes textos en el cuerpo del mensaje:
three files for you to keep... always remember that
i'm into deep... i don't know you but i think i'm in love...
sharing files is the essence of living... check this out...
hi, friend... here are some nice stuffs that i got from the
internet... check it out...
hmmmn... i guess you've forgotten me... but anyways, i
wanna make up... here are the files that made me like the
internet more... see for yourself...
check this out...
one of the files is a virus... can you tell me which one is
it? hehehe, i'm only joking... your friend, paul..
c. Cuatro con colores seleccionados entre los nombres de los autores de cada uno de los siguientes grupos de nombres):
chinese fuck.mpg (movie.exe)
amateur porn film.mpg (movie.exe)
jenna jameson clip.mpg (movie.exe)
lord of the rings clip.mpg (movie.exe)
fuck of the month.mpg (movie.exe)
britney exposed.mpg (movie.exe)
and universe.scr (screenxx.scr)
solarsystem.scr (screenxx.scr)
shit.scr (screenxx.scr)
donald and minnie sex.scr (screenxx.scr)
baby dancing.scr (screenxx.scr)
kamasutra screensaver.scr (screenxx.scr)
and credit card hacktool (file1980.com)
windows xp ultimate crack (file1980.com)
http://www.meditation.com (file1980.com)
patch1981.com (file1980.com)
hack mirc server (file1980.com)
disney.scr
Algunas consideraciones sobre la limpieza manual
Antes de proceder a borrar manualmente el gusano, es necesario un par de puntualizaciones.
- Si el virus infectó el sistema, puede haber borrado archivos claves para su funcionamiento, incluida la utilidad REGEDIT. Esto ocasionará un grave problema al intentar sacar el gusano de un sistema infectado.
De cualquier modo, antes de intentar la recuperación, para borrar el virus de un sistema infectado, primero ejecutamos uno o dos antivirus actualizados y borramos los archivos identificados como
W32/Alcarys.B o similar.
Los cambios que deberíamos hacer al registro.
Si REGEDIT está disponible, lo ejecutamos desde Inicio, Ejecutar, REGEDIT (y Enter). Si no lo estuviera (disponible), por haber sido borrado por el virus, recordemos que es muy probable falten otros archivos vitales. En ese caso, la opción de reinstalar Windows sobre el actual, sería la primera de las alternativas para solucionar los descalabros ocasionados por el gusano.
Borrar el valor:
Rundll64 = c:\windows\rundll64.exe
de la siguiente rama:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Borrar las entradas con solo basura por falta de valores:
Windows Update =
C:\WINDOWS\Start Menu\Programs\Windows Update\file###.###.exe
Regedit = C:\windows\regedit.exe
Desde el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Restaurar los valores por defecto de las siguiente claves de Windows:
HKEY_CLASSES_ROOT\mp3file\shell\open\command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command
HKEY_CLASSES_ROOT\mp3file\shell\play\command
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command
HKEY_CLASSES_ROOT\txtfile\shell\open\command
Eliminar estos valores:
*Windows = c:\windows\windows.exe
MSMSGS = c:\msmsgs.exe
De la siguiente clave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Relacionados:
VSantivirus No. 590 - 17/feb/02
W32/Alcarys. Varios adjuntos en un mismo mensaje
http://www.vsantivirus.com/alcarys.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
