Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Aliz.A (B). Tan solo 4 Kb y se propaga como el Nimda
 
VSantivirus No. 500 - Año 6 - Martes 20 de noviembre de 2001

Nombre: W32/Aliz.A
Alias: W32/Aliz.B, Aliz, Win32.Aliz, W95/Aliz.a, W95/Aliz.b
Tamaño: 4 Kb
Fecha: 18/nov/01

Seguramente se trata del gusano en código Win32 más pequeño jamás creado, con tan solo 4.000 bytes. Está escrito en código máquina puro (assembler), y luego comprimido.

Si el usuario ejecuta el archivo del gusano (con solo ver un mensaje infectado en el panel de la vista previa, o abriendo dicho mensaje para ver su texto, por ejemplo), primero se descomprime en memoria y luego pasa el control a una rutina que configura las direcciones de las APIs.

Cuando todas las direcciones API necesarias son recolectadas, el control pasa a la rutina principal del gusano.

Primero, busca en el registro la ubicación de la libreta de direcciones de Windows y la carga en memoria. El dato lo toma de esta clave del registro:

HKCU\Software\Microsoft\WAB\WAB4\Wab File Name

El gusano se conecta entonces al servidor SMTP por defecto de la máquina infectada. Este dato lo saca del registro:

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001

Entonces, el gusano se autoenvía a todos los contactos de la libreta de direcciones, en un mensaje con estas características:

Asunto: [compuesto al azar con 5 diferentes partes]
Texto: [vacío, pero con formato HTML y contenido MIME]
Adjunto: Whatever.exe

El asunto está formado con la combinación al azar de estas cinco partes:

  1. Fw:
    Fw: Re:
  1. Cool
    Nice
    Hot
    some
    Funny
    weird
    funky
    great
    Interesting
    many
  1. website
    site
    pics
    urls
    pictures
    stuff
    mp3s
    shit
    music
    info
  1. to check
    for you
    i found
    to see
    here
    - check it
  1. !!
    !
    :-)
    ?!
    hehe ;-)

Seleccionando un elemento de cada una de estas cinco series, se obtienen asuntos como:

Fw: Cool pictures i found !!
Nice website to check hehe ;-)

La cantidad de combinaciones es bastante grande, lo que dificulta descubrir este tipo de mensajes a simple vista.

El mensaje contiene un adjunto codificado en formato MIME (Whatever.exe), pero con el truco de figurar como tipo "audio/x-wav". El Internet Explorer interpreta que en realidad se trata de un archivo de audio (cuando no lo es), y eso ocasiona que sea "reproducido" en forma automática cuando se abre el mensaje o se visualice en la vista previa, sin necesidad de ejecutar el adjunto.

Esta acción se produce debido a una vulnerabilidad en el Internet Explorer (Incorrect MIME Header), similar a la aprovechada por virus como el Nimda o el Klez, y ocurre si el usuario tiene una versión de Outlook u Outlook Express en la que no ha sido instalado el parche que corrige esta falla.

El gusano no se instala en ningún momento en el sistema, ejecutándose cada vez que se lee el mensaje o se ejecuta Whatever.exe, y luego de enviar todos los mensajes infectados como ya vimos, termina su acción sin hacer nada más (hasta que sea ejecutado nuevamente).

Su código también contiene el siguiente texto, que jamás es mostrado, el cual contiene un mensaje a un fabricante de antivirus, donde hace referencia a su tamaño, y su historia, además de algunos reconocimientos, y que comienza con la siguiente línea:

:::iworm.alizee.by.mar00n!ikx2oo1:::

Cómo el gusano no se carga en memoria, para eliminarlo es suficiente con ejecutar uno o dos antivirus actualizados, y borrar el mensaje infectado. Se recomienda vaciar la bandeja de Elementos eliminados, y luego compactar las carpetas (en Outlook Express) desde Archivo, Carpeta, Compactar todas las carpetas.

También se recomienda instalar el parche de Microsoft, para evitar la ejecución de un archivo a través de un mensaje que explote la vulnerabilidad antes mencionada:

www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Ver también:

VSantivirus No. 322 - 26/may/01
I-Worm.Aliz. Puede infectarnos sin tener que abrir el adjunto
http://www.vsantivirus.com/aliz.htm

Glosario:


API (Application Program Interface). Interfaz de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.

MIME (Multipurpose Internet Mail Extensions).  Es un protocolo que no especifica los mecanismos de transmisión o recepción de la información, sino la codificación y formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el contenido incluido en el cuerpo del mensaje.


Fuente: F-Secure

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS