|
VSantivirus No. 579 - Año 6 - Miércoles 6 de febrero de 2002
IRC/Girls. El peligro de creer en todo lo que nos dicen
http://www.vsantivirus.com/irc-girls.htm
Nombre: IRC/Girls
Tipo: Gusano de Internet
Alias: IRC-Worm.Girls, W32.Girls.Irc, IRC/Girls.worm, Worm/Girls
Tamaño: 43,390 bytes
Fecha: 5/feb/02
Plataforma: Windows
Este gusano se propaga a través de los canales de chat (IRC), y una de sus características es que requiere la intervención directa de la víctima para que infecte su propia máquina.
En otras palabras, simplemente eleva la estupidez humana a la categoría de arte... :)
A través del envío de archivos vía IRC, podemos recibir el gusano en un archivo con el nombre de
GIRLS.ZIP de 43,390 bytes.
Dos archivos están agregados al final del gusano, comprimidos en el .ZIP (el ZIP no es un .ZIP puro).
GIRLS(1).JPG
README.TXT
Cuando el gusano es ejecutado como
GIRLS.ZIP, estos dos archivos son accesibles por el usuario.
GIRLS(1).JPG es una foto pornográfica, mientras que el archivo
README.TXT contiene este texto:
If you rename the zip file to .exe and open it again you will see the secret pictures...
Dont think this will work ??????
Try it !!!
***************************************************
El texto en inglés, pide se renombre el archivo
.ZIP recibido a .EXE (GIRLS.ZIP a GIRLS.EXE), para ver "una imagen secreta". Si... hay quienes creen en los Reyes Magos aún... :(.
Si el usuario hace lo que se pide, y ejecuta el .EXE (doble clic sobre él), el gusano inicia su rutina de propagación.
Primero, el gusano se copia a si mismo a la carpeta de Windows como GIRLS.ZIP (por defecto
C:\Windows\GIRLS.ZIP). C:\Windows está asignado por la variable
%Windir%
En pantalla se muestra una cuenta regresiva, culminando en un ventana de diálogo con el signo de error (círculo rojo con una X blanca), con el siguiente contenido:
:)
Have A Nice Day
[ OK ]
El gusano busca luego en la máquina infectada, la existencia de los archivos MIRC.INI y
PIRCH98.INI en las siguientes carpetas de las unidades de disco C: D: y E: (si existen):
MIRC.INI es buscado en:
\mirc\
\mirc32\
\progra~1\mirc\
\progra~1\mirc32\
PIRCH98.INI es buscado en:
\pirch98\
\progra~1\pirch98\
Si son encontrados, el gusano libera el archivo
SCRIPT.INI en la carpeta correspondiente, sobrescribiendo si existiera, el archivo con el mismo nombre.
Este archivo contiene la instrucción necesaria para enviar el gusano
(%WINDIR%\GIRLS.ZIP) via IRC.
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como
"send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Para limpiar un sistema infectado, ejecute uno o más antivirus al día, y busque y borre el siguiente archivo:
GIRLS.ZIP
Vea también:
VSantivirus No. 395 - 7/ago/01
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Glosario:
IRC (Internet Relay Chat) - Un sistema de conversación multiusuario, donde la gente se reúne en ambientes virtuales llamados "canales", normalmente identificados con temas definidos de conversación, para poder charlar en grupo o en privado. IRC trabaja en arquitectura Cliente/Servidor. El usuario ejecuta un programa cliente (los más conocidos son mIRC y Pirch), el cual se conecta a través de la red (Internet por ejemplo) con otro programa servidor. La misión del servidor es pasar los mensajes de usuario a usuario.
DCC (Direct Client to Client) - Los archivos enviados entre usuarios participantes de un canal de chat (IRC) se transmiten por medio de una sesión denominada DCC (Direct Client to Client), que permite la transferencia directa de los mismos.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|