|
VSantivirus No. 791 - Año 6 - Sábado 7 de setiembre de 2002
W32/Duksten. Datos adjuntos: SKUDO.ZIP
http://www.vsantivirus.com/duksten.htm
Nombre: W32/Duksten
Tipo: Virus y gusano de Internet
Alias: Duksten, W32/Duksten.Drp, Netskudo
Fecha: 4/set/02
Plataforma: Windows 32-bits
Tamaño: 10,240 bytes
Fuente: Panda
Este gusano se propaga en mensajes de correo electrónico con el siguiente formato:
De:
ISP_Tecnico"skudo@iris.es
Asunto:
NetsKudo,proteccion IP para Windows9x/Me/Nt/2000/XP
Datos adjuntos:
SKUDO.ZIP
El ejecutable (10,240 bytes), está programado en assembler, es semi-polimórfico y se encuentra encriptado. Al ejecutarse, el virus infecta archivos con formato PE de Windows 32 bits (ejecutables).
Cuando el usuario abre SKUDO.ZIP, se encuentra con un archivo
W_SKUDO.EXE. Si lo ejecuta (esta acción la realiza en forma premeditada, tal vez por curiosidad, al pensar que se trata de una herramienta para proteger sus conexiones), el virus realiza las siguientes acciones:
1. Crea los siguientes archivos:
C:\NETSKUDO.EXE
C:\Windows\System\PROGRAM.ZIP
C:\Windows\System\MBASE64.XRF
C:\Windows\System\MWAB.XRF
- NETSKUDO.EXE es un 'dropper' que libera los otros archivos.
- PROGRAM.ZIP es el archivo que se envía por correo electrónico con el nombre de
SKUDO.ZIP.
- MBASE64.XRF contiene una copia codificada del virus en Base 64.
- MWAB.XRF contiene información de la libreta de direcciones de Windows.
2. Infecta archivos ejecutables en formato PE (Portable Executable). Estos archivos aumentarán su tamaño en 10 Kb.
3. Se envía en un mensaje similar al recibido, usando como destinatarios direcciones electrónicas recogidas en la computadora infectada y guardadas en el archivo
MWAB.XRF.
El código de este virus contiene una rutina de desencriptación de 379 bytes, que se encarga de extraer el cuerpo del virus del archivo 'dropper'
(NETSKUDO.EXE).
Para cambiar de forma en cada infección, el virus realiza las siguientes acciones:
Introduce una instrucción de dos bytes, sin sentido e inocua para la ejecución del virus, entre cada una del resto de las instrucciones válidas de su código.
Estas instrucciones inocuas, solo comparan dos registros de 32 bits y realizan operaciones lógicas de un registro de 32 bits consigo mismo. Esto no modifica nada, ni detiene la ejecución del código propiamente dicho.
Además de ello, el virus incluye un salto (JMP) seguido de ocho palabras de 32 bits (double words) al principio de su código. Este salto contiene entre otras, cuatro referencias absolutas a las funciones
CreateFileA, WriteFile, CloseHandle y LoadModule. Estas funciones pertenecen a la librería
Kernel32.DLL del sistema operativo donde se ejecutó por última vez.
El virus emplea estas referencias absolutas para llamar a funciones que utiliza para copiar
NETSKUDO.EXE en el directorio raíz de la unidad C:.
Dado que cada versión de la librería Kernel32.DLL puede tener direcciones de inicio diferentes para cada una de estas funciones, es posible que los archivos infectados que se usan para propagar el virus en otras computadoras, no se ejecuten correctamente al infectar estas, si las mismas tienen una versión diferente de Windows.
Sin embargo, el dropper propiamente dicho, que es el código del virus enviado por correo electrónico, sí puede ejecutarse correctamente en todas las plataformas.
El archivo adjunto (SKUDO.ZIP), tiene un porcentaje de compresión 0. Esto significa que en realidad no se encuentra comprimido. Este archivo contiene una copia del dropper con el nombre de
W_SKUDO.EXE.
El código del virus contiene además el siguiente texto:
19 AGOSTO 2002 WKaPExE was born
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Repare o borre los archivos detectados como infectados
Borrar los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
C:\NETSKUDO.EXE
C:\Windows\System\PROGRAM.ZIP
C:\Windows\System\MBASE64.XRF
C:\Windows\System\MWAB.XRF
Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
Borre también los mensajes electrónicos similares al descripto antes.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Glosario:
DROPPER (cuentagotas) - Es un archivo que cuando se ejecuta "gotea" o libera un virus. Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".
VIRUS POLIMÓRFICO (Polymorphic). Este tipo de virus, generalmente encriptado, cambia su código en forma aleatoria, agregando en algunos casos información basura a su código, con la idea de confundir a los antivirus, al obtener un aspecto diferente en cada archivo infectado.
PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, 2000 y XP. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.
Referencias:
El virus "Prestige", variante de la familia "Duksten"
http://www.vsantivirus.com/duksten-fam.htm
W32/BogusBear.A. Una falsa protección contra el Bugbear
http://www.vsantivirus.com/bogusbear-a.htm
W32/Prestige (Predig). Falsas fotos del "Prestige"
http://www.vsantivirus.com/prestige.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|