|
VSantivirus No. 642 - Año 6 - Miércoles 10 de abril de 2002
mIRC/Gif. Lo que parece un verdadero GIF es un troyano
http://www.vsantivirus.com/mirc-gif.htm
Nombre: mIRC/Gif
Tipo: Caballo de Troya
Fecha: 10/abr/02
Tamaño: 18,801 bytes
Fuente: Panda
Tal vez sea la primera vez que se utiliza lo que verdaderamente parece ser un archivo de imágenes (.GIF en este caso), para lanzar un código ejecutable. No se utilizan trucos de doble extensión (una segunda extensión tipo
"nombre.gif.EXE" por ejemplo), sino que el archivo tiene casi todas las características que lo llevan a disfrazarse de .GIF, y una verdadera extensión .GIF.
En concreto se trata de un caballo de Troya con capacidad de propagarse en los canales de chat (IRC), utilizando el popular cliente mIRC.
Su característica fundamental, es la habilidad de camuflarse como archivo GIF (un popular formato de archivos de imágenes), mediante la manipulación del script de IRC que lo contiene, el cuál posee la extensión .GIF y el habitual cabezal (la primera parte del código) de todo archivo GIF:
GIF89a (sigue el resto del código)
No posee la capacidad de ejecutarse en forma automática como otros scripts maliciosos de IRC, sino que quien lo envía, debe obligar al receptor a ejecutar la siguiente instrucción:
/load -rs c:\mirc\dcc\imagenes\nombre.gif
En el ejemplo NOMBRE.GIF es el troyano, y puede tener cualquier nombre, y un tamaño de unos 18 Kb.
Nótese que se requiere ingeniería social para obligar a la víctima a que ejecute ese comando.
Pero si el receptor ejecuta la orden mencionada, entonces el troyano muestra una pantalla de error del mIRC, mientras crea una copia de si mismo en el directorio Windows, con el nombre de
HIMEM32.SYS (cuidado, en dicho directorio existe un archivo legítimo de Windows llamado HIMEM.SYS):
C:\Windows\HIMEM32.SYS
El troyano también modifica a MIRC.INI, el archivo de configuración del mIRC, para hacer que el troyano se ejecute cada vez que se inicie el programa de chat. Para ello crea la siguiente entrada dentro de la sección
[rfiles]:
N2=c:\windows\himem32.sys
Una vez activo, el troyano habilita el puerto
64000, por el que se puede recoger y enviar información de su víctima a través de un canal de IRC.
Si no ejecuta la instrucción que acompaña al .GIF, el troyano no se activará y su equipo no será infectado. Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.
Tampoco acepte archivos SCRIPT. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como
"send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la configuración de
"DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Vea también:
VSantivirus No. 395 - 7/ago/01
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Para eliminar el troyano en forma manual
Borre el falso GIF recibido (o todos los GIF recibidos en su mIRC en las últimas semanas.
Borre el archivo C:\Windows\HIMEM32.SYS (no lo confunda con
HIMEM.SYS, que es un archivo de Windows).
Edite el archivo MIRC.INI (utilice la opción Inicio, Buscar, Archivos o carpeta para buscarlo).
Haga doble clic sobre el archivo encontrado (MIRC.INI) y se cargará en el bloc de notas, donde usted deberá localizar la entrada
[rfiles], y borrar la siguiente línea si existe:
N2=c:\windows\himem32.sys
Grabe los cambios al salir, y ejecute uno o dos antivirus actualizados para examinar su sistema.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|