Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Coke.A. Se propaga en Word, .EXE, .SCR y vía e-mail
 
VSantivirus No. 489 - Año 6 - Viernes 9 de noviembre de 2001

Nombre: W32/Coke.A
Tipo: Gusano de Internet, virus de macro e infector de EXE
Alias: W32/Coke.22231.A, Vecna, Cocaine, Coke.22231.A

Este virus funciona en Windows 95/98 y NT, aunque debido a un error en su programación, falla en este último caso en algunas ocasiones.

Es un virus residente en memoria y altamente polimórfico (se modifica a si mismo en cada infección, no existiendo nunca dos ejemplares iguales). Infecta archivos PE (Portable Executable), y documentos y plantillas de Word. También es capaz de propagarse a través del correo electrónico.

Contiene dos engines diferentes para realizar su acción polimórfica. Una de ellas actúa al infectar archivos ejecutables PE (.EXE,.SCR, etc.). La otra es usada en la infección de la plantilla NORMAL.DOT de Word.

Utiliza múltiples hilos y múltiples capas para cambiar su código en cada infección, lo que enlentece su funcionamiento. Llega a utilizar hasta dos niveles de encriptación, y a dividir su código en ocho partes, las que son encriptadas y desencriptadas en forma independiente si fuera necesario.

Utiliza las APIs de Windows para llevar a cabo la mayoría de sus procesos de propagación e infección.

Puede propagarse de tres modos diferentes:
  1. Infectando archivos ejecutables (Windows PE y EXE)
  2. Infectando documentos de Word
  3. Enviándose como adjunto en mensajes electrónicos

Por lo tanto puede llegar a nuestro PC a través de CDs o disquetes infectados, descarga de archivos de Internet, correo electrónico, etc.

En el caso del correo electrónico, llega a nuestra computadora en un mensaje con alguno de los siguientes asuntos, seleccionados al azar:

Kewl page!
Improvement to your page
Your page r0x0r!
You must see this...
Secret stuff!

Utiliza dos métodos diferentes para propagarse vía e-mail:

  1. Usando funciones del WSOCK32.DLL para tomar las direcciones de las páginas de Internet visitadas y capturar los enlaces tipo "mailto:" en una base de datos propia (BRSCBC.DAT). También elimina los duplicados si los hubiera. Los mensajes son creados adjuntando una plantilla NORMAL.DOT o un archivo PE infectado.
  2. Usando funciones capturadas de MAPI32.DLL para enviarse a si mismo adjunto a cada mensaje saliente en la forma del NORMAL.DOT o archivo EXE infectado.

Cuando se ejecuta, W32/Coke deshabilita las protecciones de macro de Word.

También intenta borrar cualquier antivirus que encuentre en el disco duro, buscando archivos pertenecientes a conocidos paquetes antivirus como estos:

KERNEL.AVC
SIGN.DEF
FIND.DRV
NOD32.000
DSAVIO32.DLL
SCAN.DAT
VIRSCAN.DAT

Si el virus se ejecuta cuatro meses después de la primera infección, se muestra una ventana con el siguiente título:

W32/Wm.Cocaine

Y uno de los siete diferentes textos, seleccionados al azar:

Your life burn faster, obey your master...
Chop your breakfast on a mirror... 
Veins that pump with fear, sucking darkest clear... 
Taste me you will see, more is all you need... 
I will occupy, I will help you die... 
I will run through you, now I rule you too... 
Master of Puppets, I'm pulling your strings...

Cuando infecta una plantilla de Word (NORMAL.DOT), primero examina si existe este archivo:

C:\ANCEV.SYS

ANCEV es VECNA al revés. Si ese archivo existe, significa que NORMAL.DOT está infectado. En ese caso, nueve de cada diez veces el virus no hará nada más, pero en la número diez, volverá a infectar a la plantilla NORMAL.DOT.

La infección ocurre borrando la plantilla actual y creando una nueva que incluye un único macro automático (AutoExec), que se ejecuta cada vez que Word es llamado. Este macro es importado desde el archivo C:\ANCEV.SYS

La ubicación de la plantilla NORMAL.DOT para esta acción, es tomada de la siguiente rama del registro:

HKLM\SOFTWARE\Microsoft\Office\8.0\Common\FileNew
\LocalTemplates\

La protección antimacros, es deshabilitada modificando la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Office\8.0\Word\Options
EnableMacroVirusProtection

La infección de archivos .EXE desde la plantilla NORMAL.DOT, comienza con la creación de un archivo .SCR que contiene la imagen del archivo en código ASCII, y un archivo de proceso por lotes (.BAT), el cuál invoca la función DEBUG de MS-DOS para convertir el código ASCII en un formato PE y luego ejecutarlo.

Después de infectar la plantilla NORMAL.DOT, el virus infecta los archivos .EXE en el directorio actual, así como en los directorios de Windows.

Solo infecta archivos con extensiones .EXE y .SCR.

Luego busca los ejecutables del navegador y el cliente de correo instalados por defecto en la máquina infectada, y los infecta. Para encontrar estos archivos, examina estas ramas del registro:

HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
HKLM\SOFTWARE\Classes\mailto\shell\open\command

La razón de infectar estos programas, es hacer que el virus esté en memoria cuando el usuario se conecta para enviar su correo, etc.

La rutina de infección verifica estos aspectos:

  1. Que el tamaño de los archivos no pueda ser dividido por 101, para prevenir una infección demasiado extendida.
  2. Que el archivo a infectar no contenga ninguna letra "V" en su nombre, para prevenir infectar algún antivirus o archivo relacionado con estos.

Luego de infectar estos archivos, el virus captura las funciones WinExec y CreateProcessA de Windows, para averiguar el directorio desde donde es llamado el archivo infectado, y luego proceder a infectar el contenido de ese directorio (solo archivos .EXE y .SCR). El virus permanece en memoria como un proceso del ejecutable infectado.

Como sacar el virus de un sistema infectado

Ejecute uno o más antivirus actualizados para proceder a la limpieza de los archivos infectados. 

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a Medio o Alto.

Relacionados:

VSantivirus No. 489 - 9/nov/01
Hoax: Coke.exe. Un virus falso en protector de pantalla
http://www.vsantivirus.com/hoax-coke.htm


Fuente: Panda Software

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS