|
VSantivirus No. 693 - Año 6 - Viernes 31 de mayo de 2002
W32/Frethem.A (Win64.A). Simula enlace a un sitio Web
http://www.vsantivirus.com/freedesktop.htm
Nombre: W32/Frethem.A (Win64.A)
Tipo: Gusano de Internet
Alias: Freedesktop, W32/Freedesktop, WORM_FRETHEM.A,
W32/Win64.A
Fecha: 30/may/02
Tamaño: 31,232 bytes
Plataforma: Windows
Fuente: Panda
Haciendo uso de la ingeniería social (ver Glosario), este gusano tiene muchas posibilidades de propagarse a través del correo electrónico.
En este caso, el gusano se presenta como un adjunto cuyo nombre simula el de un sitio WEB, aprovechándose en este caso de la extensión
.COM que corresponde tanto a un dominio de Internet como a un archivo ejecutable. Algo sencillo, pero siempre efectivo si el usuario no está informado.
Si se le suma a esto un mensaje donde se le explica que de dicho sitio, podrá bajar fondos de escritorio para su Windows, el doble clic es prácticamente un hecho. Grave error que ejecuta al gusano en la máquina "victimizada".
Hay un elemento que puede hacer que en nuestros países, el gusano no se propague tanto, y es que el mensaje está en inglés.
El gusano, identificado en primera instancia por Panda como Freedesktop, recibe el nombre técnico de
W32/Frethem.A (Win64.A). Cómo es costumbre, otros fabricantes de antivirus, a medida que agreguen dicho gusano a su base de datos, es muy probable lo identifiquen con nombres diferentes, para confusión del usuario.
El mensaje recibido tiene estas características:
Asunto:
Re: Do your Windows looks like Windows XP?
I have found very nice desktop themes!
Texto:
Hello!
Do you like modern design of new Windows XP?!
I have found FREE and easy to use desktop themes!
You can open attach with web site and samples!
Enjoy it!!!
Datos adjuntos: www.freedesktopthemes.com
En ocasiones, la extensión del archivo adjunto podría ser
.M, .EXE, .BAT o .CMD.
Si se hace doble clic sobre el falso enlace, el gusano se activa, siendo capaz de autoenviarse a todas las entradas de la libreta de direcciones de Windows, y de los demás programas de correo que estén instalados en la misma computadora.
Para el envío masivo, utiliza el mismo servidor SMTP del usuario, dato que recoge del registro de Windows.
Por otra parte, cada cierto tiempo, el gusano entrará en un bucle que intentará conectarse a 19 direcciones de sitios Web de conocidas empresas de comunicaciones, enviando solicitudes sucesivas al puerto 80 (HTTP) con el propósito de provocar un ataque de denegación de servicio (D.o.S), o sea una saturación de solicitudes para que el servidor no pueda responder. Esto puede agravarse al coincidir otras computadoras infectadas con el mismo ataque. Además, el gusano cambia la dirección a la que accede cada 45 segundos.
Programado en Visual C++, el gusano tiene un tamaño de 31,232 bytes, y su código compactado con dos utilidades de compresión de ejecutables, PE-Pack y UPX. Con esto intenta engañar el escaneo de algunos antivirus.
El envío masivo se realiza con un mensaje idéntico al recibido.
Cuando se ejecuta en la máquina infectada el adjunto, estas son las acciones que realiza el virus:
1. Crea los siguientes archivos:
C:\WINDOWS\status.ini
C:\WINDOWS\Start Menu\Programs\Startup\setup.exe
Este segundo archivo (setup.exe) lo crea en el directorio de inicio de aquellas computadoras con Windows en idioma inglés. Esto también minimiza la acción en sistemas en otros idiomas, incluido español.
2. Comprueba la existencia de este archivo:
C:\WINDOWS\Win64.INI
3. Procede a enviarse masivamente vía correo electrónico, como se explicó antes, y cada cierto tiempo, realiza su intento de ataque de denegación de servicio.
Eliminación manual del virus
Para eliminar el gusano de un sistema infectado, actualice sus antivirus y realice un escaneo de sus discos.
Borre los archivos detectados como pertenecientes al gusano, y también todo correo electrónico con las características descriptas anteriormente.
Glosario:
INGENIERIA SOCIAL - Se le dice ingeniería social a la acción de engañar a un usuario para que sea él el que actúe, ejecutando un archivo o revelando datos secretos como una clave. Se utiliza la astucia para convencer a una persona a dar por si mismo información acerca de su sistema.
D.o.S - Un ataque de D.o.S (Denial of Service, o negación de servicio), hace que los servidores o cualquier computadora conectada a Internet, reciban una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.
Modificaciones
12/jun/02 - Se modifica el nombre por W32/Frethem.A
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|