|
VSantivirus No. 869 - Año 7 - Sábado 23 de noviembre de 2002
FriendGreetings IV. Versión con troyano "Hide Minimized"
http://www.vsantivirus.com/friendgr-d.htm
Nombre: FriendGreetings.D (Friendgr.D)
Tipo: Gusano de Internet
Alias: W32.Friendgreet.worm, Friendgreetings, Iworm.Friendgr, Friendgreetings E-Card, E-Card, Friend greetings, Permissioned Media, Hide Minimized, Hide Minimized.dr, WORM_FRIENDGRT
Tamaño: 136,186 bytes (cab)
Fecha: 21/nov/02
Esta variante del "FriendGreetings (Friendgr)" (ver "FriendGreetings, una falsa tarjeta de saludo",
http://www.vsantivirus.com/friendgr.htm), se propaga a través de un mensaje que informa al destinatario que alguien le ha enviado una tarjeta de saludo, invitándolo a visualizarla por medio de un enlace a un sitio Web.
Descarga un troyano oculto en los paquetes de instalación de la tarjeta, lo que incluye archivos .CAB, y .MSI que son los instaladores asociados a la aplicación.
Además, hace desaparecer la barra de tareas de Windows, de modo que no se puede pasar a otra aplicación mientras el software se ejecuta.
Se requiere que el usuario instale el software y se le advierte que esa acción enviará mensajes similares a la lista de contactos de su programa de correo.
El proceso de propagación funciona cuando se visita un determinado sitio (64.191.7.4, que ha sido desactivado), y cuyo enlace figura en un par de mensajes electrónicos como éstos:
Variante 1:
Asunto: [remitente] sent you a greeting -
[destinatario]
Texto del mensaje:
[destinatario],
[remitente] just mailed you a postcard.
Retrieve your e-card by clicking this link;
http://www.Friend-Card.com/[xxx]/pickup.aspx?code=[xxx]&id=[xxx]
Comment-
[destinatario],
Go get the greeting just sent.
[remitente]
Variante 2:
Asunto: [destinatario] you received a postcard sent by [remitente]
Texto del mensaje:
[destinatario],
[remitente] has just created you an ecard greeting.
Pickup your greeting by going here.
http://www.FriendGreeting.com/ [xxx]/pickup.aspx?code=[xxx]&id=[xxx]
Note,
[destinatario],
Get the postcard recently emailed.
[remitente]
Nota: el enlace en estos mensajes, en realidad apuntan al sitio Web en 64.191.7.4, y no a las direcciones de "Friend-Card" o "FriendGreeting.com" cómo figura en el texto.
Cuando el usuario pincha sobre el enlace correspondiente, una vez que la página es cargada, se le muestra una ventana con una falsa advertencia, pidiendo la descarga de un certificado de seguridad:
Security Warning
Do you want to install and run "FriendGreetings"
signed on 10/23/02 1:29 PM and distributed by:
Permissioned Media Inc.
Publisher authenticity verified by Thawte Server CA
Caution: Permissioned Media Inc. asserts that this
content is safe. You should only install/view this
content if you trust Permissioned Media Inc. to make
that assertion.
[ ] Always trust content from Permissioned Media Inc.
[ Yes ] [ No
] [ More Info ]
Si el usuario acepta haciendo clic en "Yes", dos archivos son descargados en el sistema, y ejecutados automáticamente, mostrándose como archivos de instalación WISE, los cuáles muestran dos acuerdos de licencia para su uso (License Agreement). El segundo de ellos pregunta al usuario si se le permite acceder a la libreta de direcciones del Outlook, para enviar un mensaje de correo con la invitación de descargar los productos de FriendGreetings:
License Agreement
Please read the following license agreement carefully.
Press the PAGE DOWN key to see the rest of the agreement.
1. Consent to E-Mail Your Contacts. As part of the installation process, Permissioned Media will access your MicroSoft Outlook(r) Contacts list and send an e-mail to persons on your Contacts list inviting them to download FriendGreetings or related products. By downloading, installing, accessing or using the FriendGreetings, you authorize Permissioned Media to access your MicroSoft(r) Outlook(r) Contacts list and to send a personalized e-mail message to persons on your Contact list. IF YOU DO NOT WANT US TO ACCESS YOUR CONTACT LIST AND SEND AN E-MAIL MESSAGE TO PERSONS ON THAT LIST, DO NOT DOWNLOAD, INSTALL, ACCESS OR USE FRIENDGREETINGS.
Si el usuario acepta, el programa envía un mensaje como el recibido antes, a todos los contactos de la libreta. Además se continúa la instalación, con la descarga de los componentes de la tarjeta. En pantalla se muestra una ventana de progreso clásica.
Si no acepta, el gusano finalizará su acción, sin ninguna otra consecuencia.
El instalador descarga los siguientes archivos:
%Program Files%\Common
Files\Media\INSTALL.LOG
%Program Files%\Common
Files\Media\Uninstal.EXE
%Program Files%\Common
Files\Media\OTDOCK.DLL
%Program Files%\Common
Files\Media\OTGLOVE.DLL
%Program Files%\Common
Files\Media\OTMS.EXE
%Program Files%\Common
Files\Media\OTUPDATE.EXE
%Program Files%\Common
Files\Media\WINSRVC.EXE
%Program Files%\Common
Files\Media\WINSRVC.DAT
"%Program Files%\Common Files\" corresponde a
"C:\Archivos de programa\Archivos comunes\Media" en las versiones en español de Windows.
El instalador crea también un ejecutable llamado TAFW.EXE, el cuál es el responsable del envío masivo de los mensajes indicados.
Antes del envío, se examina la presencia de un archivo AS.INI
en "C:\Archivos de programa\Archivos comunes".
Si existe, los mensajes no se envían. Si no existe, el envío de mensajes comienza (el gusano accede a la libreta de direcciones del Outlook y envía a cada contacto un mensaje similar a los ya descriptos) y al final se crea el archivo mencionaado
(AS.INI), de cero bytes:
C:\Archivos de programa\Archivos comunes\AS.INI
Una sugerencia para evitar la propagación de este gusano es crear dicho archivo (con cualquier contenido), en alguna de las siguientes ubicaciones (dependiendo el idioma de su versión de Windows):
C:\Archivos de programa\Archivos comunes\AS.INI
C:\Program Files\Common Files\AS.INI
Después de que la rutina de envío masivo se completa, el sitio que contiene el gusano muestra una tarjeta electrónica.
Los siguientes sitios deberían ser bloqueados de su sistema, para impedir una reinfección:
64.191.7.4
65.240.226.248
www.cool-downloads.com
www.cool-downloads.net
www.friend-card.com
www.friend-card.net
www.friend-cards.com
www.friend-cards.net
www.friend-greeting.com
www.friend-greetings.com
www.friendgreetings.com
www.friend-greetings.net
www.friendgreetings.net
www.laugh-mail.com
www.laugh-mail.net
Durante la instalación, el gusano oculta la barra de tareas de Windows.
Desinstalar la aplicación "Friend Greetings"
1. Pinche en Inicio, Configuración, Panel de control
2. En el Panel de control, seleccione "Agregar o quitar programas"
3. En la lista de componentes instalados, seleccione "Friend Greetings" y pinche en el botón "Agregar o quitar..."
4. Reinicie su computadora
Desinstalar la aplicación "WinSvr Reg"
Esta aplicación es instalada por el software de instalación de la tarjeta. Pero también puede serlo por otras aplicaciones legítimas. Sin embargo, puede ser desinstalada,
1. Detenga el proceso en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale la siguiente:
Winsrvc
3. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos.
4. Pinche en Inicio, Configuración, Panel de control
5. En el Panel de control, seleccione "Agregar o quitar programas"
6. En la lista de componentes instalados, seleccione "WinSvr Reg" y pinche en el botón "Agregar o quitar..."
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Relacionados:
FriendGreetings, una falsa tarjeta de saludo
http://www.vsantivirus.com/friendgr.htm
FriendGreetings II. Envío masivo de tarjetas de saludo
http://www.vsantivirus.com/friendgr-b.htm
FriendGreetings III. Envío masivo de tarjetas de saludo
http://www.vsantivirus.com/friendgr-c.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|