VSantivirus No. 606 - Año 6 - Martes 5 de marzo de 2002
W32/Gibe. Falsa actualización de Microsoft (Q216309.EXE)
http://www.vsantivirus.com/gibe.htm
Nombre: W32/Gibe
Tipo: Gusano de Internet
Alias: WORM_GIBE.A, WORM_GIBE.DR, W32/Gibe@MM
Fecha: 4/mar/02
Plataforma: Windows
Tamaño: 122,880 Bytes (Q216309.EXE), 32,768 Bytes (BCTOOL.EXE)
Un gusano con capacidad de envío masivo vía Internet (aunque falla
en ocasiones por errores en algunas rutinas relacionadas con el uso del Outlook), está escrito en Visual Basic, e intenta enviarse a si mismo a todas las direcciones electrónicas localizadas en el sistema infectado.
Para averiguar si es ejecutado por primera vez en una máquina, el gusano verifica la existencia de la siguiente rama del registro:
HKEY_LOCAL_MACHINE\Software\AVTech\Settings
"Installed" =
Si encuentra el texto: "...by Begbie", entonces supone que sus componentes ya están instalados en ese sistema, y despliega una ventana de mensaje con el siguiente texto:
Microsoft Internet Tools Update
This update does not need to be installed on this system
De lo contrario, el gusano guarda información acerca del servidor SMTP y su marcador obtenidos de los datos de la cuenta de Internet del usuario, y los copia en las siguientes ramas creadas por el propio gusano:
HKEY_LOCAL_MACHINE\Software\AVTech
HKEY_LOCAL_MACHINE\Software\AVTech\Settings
"Default Address" = (e-mail SMTP por defecto)
HKEY_LOCAL_MACHINE\Software\AVTech\Settings
"Default Server" = (servidor SMTP por defecto)
HKEY_LOCAL_MACHINE\Software\AVTech\Settings
"Installed" = ...by Begbie
Despliega entonces una ventana, haciéndose pasar por un parche de seguridad de Microsoft, en donde nos pide autorización para continuar su instalación en nuestra máquina. Sin embargo, no importará la respuesta:
This will install Security Update.
Do you wish to continue ?
[ yes ] [ no ]
Cómo dijimos, tanto al pulsar en [YES] como al pulsar en
[NO], el gusano libera los siguientes archivos:
C:\Windows\Q216309.EXE
(122,880 bytes)
C:\Windows\BCTOOL.EXE (32,768 bytes)
C:\Windows\WINNETW.EXE (20,480 bytes)
C:\Windows\GFXACC.EXE (20,480 bytes)
C:\Windows\VTNMSCCD.DLL (122,880 bytes)
C:\Windows\02_N803.DAT (variable)
C:\Windows\System\VTNMSCCD.DLL
También instala el archivo MSWINSCK.OCX si el sistema no tiene este archivo. El mismo es necesario para el manejo de los protocolos de la conexión a Internet.
Crea también las entradas necesarias en el registro para ejecutar los archivos
GFXACC.EXE y BCTOOL.EXE en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"LoadDBackUp" = "%windows%\BcTool.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"3DfxAcc" = "%windows%\GfxAcc.exe"
%Windows% representa la carpeta donde Windows está instalado
(C:\Windows por defecto).
El gusano ejecuta entonces el archivo WINNETW.EXE para escanear las direcciones de correo y guardarlas luego en este archivo:
C:\Windows\02_N803.DAT
El componente GFXACC.EXE, es un caballo de Troya de acceso remoto, que abre el puerto 12378 de la máquina infectada para realizar una conexión y enviar información al autor del virus.
El detalle del mensaje infectado enviado por el gusano es el siguiente:
De: Microsoft Corporation Security Center
mailto:rdquest12@microsoft.com]
Para: Microsoft Customer
Asunto:
Internet Security Update
Texto:
Microsoft Customer,
this is the latest version of security update, the update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.
Description of several well-know vulnerabilities:
- "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" vulnerability. If a malicious user sends an affected HTML e-mail or hosts an affected e-mail on a Web site, and a user opens the e-mail or visits the Web site, Internet Explorer automatically runs the executable on the user's computer.
- A vulnerability that could allow an unauthorized user to learn the location of cached content on your computer. This could enable the unauthorized user to launch compiled HTML Help (.chm) files that contain shortcuts to executables, thereby enabling the unauthorized user to run the executables on your computer.
- A new variant of the "Frame Domain Verification" vulnerability could enable a malicious Web site operator to open two browser windows, one in the Web site's domain and the other on your
local file system, and to pass information from your computer to the Web site.
- CLSID extension vulnerability. Attachments which end with a CLSID file extension do not show the actual full extension of the file when saved and viewed with Windows Explorer. This allows dangerous file types to look as though they are simple, harmless files - such as JPG or WAV files - that do not need to be blocked.
System requirements:
Versions of Windows no earlier than Windows 95.
This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01
How to install
Run attached file q216309.exe
How to use
You don't need to do anything after installing this item.
For more information about these issues, read Microsoft Security
Bulletin MS02-005, or visit link below.
http://www.microsoft.com/windows/ie/downloads/critical/default.asp
If you have some questions about this article contact us at
rdquest12@microsoft.com
Thank you for using Microsoft products.
With friendly greetings,
MS Internet Security Center.
----------------------------------------
----------------------------------------
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation.
Datos adjuntos: q216309.exe
Como dijimos, el gusano posee algunos errores en su código,
a pesar de ello puede enviarse a si mismo utilizando la libreta de direcciones del Outlook.
También utiliza las direcciones recogidas por el componente
WINNETW.EXE, las cuáles están guardadas en el archivo
02_N803.DAT, y sus propias rutinas SMTP.
Para eliminar el gusano de un sistema infectado
1. Seleccione Inicio, Ejecutar, escriba REGEDIT y pulse Enter.
2. En el panel de la izquierda, seleccione la siguiente rama:
HKEY_LOCAL_MACHINE
Software
AVTech
3. Seleccione "AVTech" y pulse la tecla SUPR. Confirme los datos de eliminación de la carpeta.
4. En el panel de la izquierda, seleccione la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Run
5. En el panel de la derecha, bajo la columna
"Nombre", busque y borre las siguientes entradas:
3DfxAcc
LoadDBackUp
6. Salga del editor del registro, confirmando los cambios hechos.
7. Con el Explorador de Windows, examine la carpeta C:\Windows en busca del archivo
"02_N803.DAT". Si lo encuentra, bórrelo.
8. Examine todo el sistema con uno o dos antivirus actualizados, y borre todos los archivos detectados como
"GIBE".
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|