|
VSantivirus No. 546 - Año 6 - Sábado 5 de enero de 2002
W32/Gop. Se propaga vía e-mail y roba contraseñas del ICQ
Nombre: W32/Gop
Tipo: Gusano de Internet
Alias: W32/GOP@MM, W32.HLLW.GOP
Fecha: 14/dic/01
Fuentes: McAfee, Sophos
Para propagarse en forma masiva, utiliza el correo electrónico, enviándose como adjunto, y apelando al viejo truco de la doble extensión, simulando ser un archivo no peligroso. El doble clic activará la verdadera extensión del gusano.
El mensaje enviado tiene asuntos y cuerpo seleccionados al azar.
En las propiedades del mensaje, puede encontrarse esta información:
From: mail@btamail.net.cn
To: g_op@163.com
X-Mailer: FoxMail 3.5 Release [cn]
Reply-To: mail@btamail.net.cn
The attachment content id is:
Content-ID: <__0@Foxmail.net>
El cabezal del mensaje es modificado para explotar una conocida falla del Internet Explorer, con la que el gusano puede ejecutarse automáticamente, sin necesidad de abrir el adjunto.
Un mensaje con formato HTML, es esencialmente una página Web, y al leerlo en el Outlook u Outlook Express, el programa que se abre para visualizarla es el Internet Explorer (aunque lo haga dentro del Outlook).
La falla es una interpretación errónea en la lectura de algunas extensiones MIME. Las extensiones MIME permiten integrar dentro de un mensaje, archivos como imágenes, sonidos, y ejecutables, salvando de este modo las restricciones del protocolo SMTP (el protocolo para la transferencia de correo).
Cuando el gusano se ejecuta, el mismo extrae un archivo embebido en el código del mensaje, el cuál ha sido sacado de la máquina infectada anteriormente (la que envía el mensaje).
Este archivo puede tener las extensiones .BMP, .DOC, .GIF, .JPEG, .JPG, .RTF, o .TXT FILE.
Copia el mismo en la carpeta de temporales de Windows (C:\WINDOWS\TEMP por defecto), y lo abre.
El nombre de este archivo embebido da el nombre a la primera parte del nombre del adjunto. Por ejemplo, un archivo
PRUEBA.DOC, daría el nombre de PRUEBA.DOC.EXE o
PRUEBA.DOC.LNK (note la doble extensión).
El gusano se copia a si mismo a la carpeta Windows\System con el nombre
kernelsys32.exe:
C:\Windows\System\kernelsys32.exe
Luego modifica el registro para ejecutarse automáticamente en el reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
IMEKernel32=C:\Windows\System\Kernelsys32.Exe
También genera un componente capaz de robar las contraseñas del ICQ. el cuál es grabado en la carpeta Windows o Windows\System, con el nombre de
IMEKernel32.sys
El gusano se envía a todos las direcciones de correo encontradas en archivos con las extensiones
.JS, .HTM y .HTML, utilizando SMTP.
Para limpiar su PC
Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como
"Gop", etc.
Borre con REGEDIT (Inicio, Ejecutar, Regedit y Enter), la clave
"IMEKernel32" de la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
Borre la entrada que aparezca: IMEKernel32 y finalmente ejecute uno o más antivirus actualizado.
Notas:
Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
El virus utiliza el truco de la doble extensión para disimular la verdadera. Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
- En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
- En Windows 98, vaya a Mi PC, Menú Ver, Opciones de
carpetas.
- En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.
Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción
"Ocultar extensiones para los tipos de archivos
conocidos" o similar. También MARQUE la opción
"Mostrar todos los archivos y carpetas ocultos" o similar.
Referencias:
VSantivirus No. 266 - 31/mar/01
Grave vulnerabilidad en extensiones MIME en IE
http://www.vsantivirus.com/vulms01-020.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|