VSantivirus No. 889 - Año 7 - Viernes 13 de diciembre de 2002
El virus "Prestige", variante de la familia "Duksten"
http://www.vsantivirus.com/duksten-fam.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
El virus "Prestige" (simula contener fotografías del derrame de petróleo ocasionado por el petrolero Prestige), es una variante del W32/Duksten (VSA #791,
http://www.vsantivirus.com/duksten.htm) y W32/BogusBear.A (VSA #831,
http://www.vsantivirus.com/bogusbear-a.htm).
Debido a que cada laboratorio antivirus le suele poner nombres diferentes, puede existir confusión al identificar un mismo gusano con diferentes nombres, según el antivirus utilizado.
Este gusano en concreto (y sus variantes), es detectado con los siguientes nombres (en orden alfabético):
Duksten
I-Worm.Duksten.d
I-Worm.Gain
I-Worm.Skudex
Netskudo
Predig
Prestige
W32.Duksten.B@mm
W32.Protex.Worm
W32/BogusBear.A
W32/BogusBear.A
W32/Duksten
W32/Duksten
W32/Duksten.Drp
W32/Duksten.h@MM
W32/Duksten@MM
W32/Prestige
W32/Pretige
W32/Skud
W32/Skudo
Win32.BogusBear.A@mm
Win32.Duksten.H
Win32/BogusBear@MM
Win32/Duksten.H.Worm
Win32/Gex
Worm/Antiax
Worm/BogusBear
Worm/Predig
Worm_Bogusbear.A
Casi todas envían un archivo .ZIP como un adjunto y liberan los archivos
"m_base64.xrf" (versión del gusano codificada para enviar por correo electrónico en formato MIME-encoded),
"m_prgrm.zip" (el .ZIP conteniendo el gusano).
Otras variantes envían el adjunto directamente en formato .EXE.
Algunas propiedades de las diferentes variantes, todas ellas encriptadas:
* Variante A
Libera el archivo "C:\NetSkudo.exe" de 10,240 bytes, no está encriptado).
* Variante B
El mensaje tiene estas características:
De:
"Anti-SirCam" [Panda@PandaSoft.com]
Asunto:
Free Anti-Vir to protect you SirCam trojan
Datos adjuntos:
SKUDO.EXE (7,680 bytes, encriptado)
* Variantes C y E
Uno de los siguientes remitentes:
De:
"Anti29A" [darknode@dejalo.com]
De:
"ReEnviaMe" [Skudo@Seguro.com]
De:
[Grupo@Anti29A.net]
Uno de los siguientes asuntos:
Asunto:
grupo creador de virus 29A
Asunto:
AyudaME, AyudatE ... AYudEMonoS! Anti29A - SKUDO
En todos los casos:
Datos adjuntos:
ANTI_29A.EXE (7,680 bytes, encriptado)
Esta variante suele enviarse a través del grupo de noticias
"es.comp.virus" en un mensaje con el texto "dais pena JUA JUA
JUA".
* Variante D
El mensaje tiene estas características:
De:
"Anti-SirCam" [Panda@PandaSoft.com]
Asunto:
Run ThiS Free Anti-Vir to protect you SirCam trojan
Datos adjuntos:
SKUDO.EXE (7,680 bytes, no encriptado)
* Variantes F y G
Uno de los siguientes remitentes:
De:
[boletin@viralert.net]
De:
"Alerta_RaPida"
[boletin@viralert.net]
En todos los casos:
Asunto:
ProTeccion TOTAL contra W32/Bugbear (30dias)
Datos adjuntos:
PROTECT.ZIP (contiene un EXE de 9,728 encriptado)
Esta variante contiene el siguiente texto en su código:
WKaPCOM bY XRF,19SePtiembre2002 PandaSoftware, please,rename Duksten to WKaPExE About::Me 1985AppleIIe.1986Univac1100.1987MV4000. 1988MV20000.1990EpsonPcJ2
* Variante H
Ver descripción del W32/Prestige (VSA #888, http://www.vsantivirus.com/prestige.htm)
* Variante I
Ver descripción del W32/Prestige.B (VSA #893,
http://www.vsantivirus.com/prestige.htm)
Referencias:
W32/Duksten. Datos adjuntos: SKUDO.ZIP
http://www.vsantivirus.com/duksten.htm
W32/BogusBear.A. Una falsa protección contra el Bugbear
http://www.vsantivirus.com/bogusbear-a.htm
W32/Prestige (Predig). Falsas fotos del "Prestige"
http://www.vsantivirus.com/prestige.htm
Actualizaciones:
17/dic/02 - W32/Prestige.B (variante I)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
