|
VSantivirus No. 570 - Año 6 - Lunes 28 de enero de 2002
VSantivirus No. 571 - Año 6 - Martes 29 de enero de 2002
W32/Myparty. ¡Cuidado! www.myparty.yahoo.com no es un Web
Nombre: W32/Myparty
Tipo: Gusano de Internet
Alias: WORM_MYPARTY.A, MYPARTY.A, MYPARTY, W32.Myparty@mm, W32/MyParty-A, W32/Myparty@mm
Plataforma: Windows
Tamaño: 29,696 Bytes (comprimido con UPX)
Fecha: 27/ene/02
W32/Myparty no es un gusano muy diferente a los demás. Un ejecutable programado en Visual C++, de un tamaño de 29,696 bytes, adjunto a un mensaje que, en inglés anuncia unas nuevas fotos de una supuesta fiesta.
Lo curioso, es que el texto menciona que las mismas están en un sitio Web, y se nos muestra el nombre del sitio con el enlace correspondiente.
Si usted ve este nombre www.myparty.yahoo.com, hacer doble clic sobre él es cuestión del tiempo que le lleve apuntar con el cursor del mouse el enlace, ¿no?... Pues, grave error, un truco tan sencillo que nos preguntamos porqué no fue explotado antes, nos espera como sorpresa a nuestro irresponsable acto de abrir adjuntos que no solicitamos. Porque tal vez usted y yo, nos demos cuenta que es un enlace, un archivo con extensión
.COM, disfrazado como dirección de Internet con el agregado del
WWW.MYPARTY.YAHOO. Pero sin dudas, la mayoría hará doble clic a pesar de los mensajes que puedan aparecer.
No me extrañaría que aparecieran otros gusanos con enlaces tan "atractivos" como
www.britney-spears-desnuda.com por ejemplo. ¿Qué apostamos?. Las posibilidades son infinitas, y nos extraña que el "truco" lo hayamos visto solo en uno o dos virus hasta ahora, los que pasaron sin pena ni gloria.
En el caso del W32/Myparty, parece haber dado más resultado, según revelan las principales casas antivirus, de acuerdo a la cantidad de reportes de infección hasta ahora.
Para Denos Zenkin de los laboratorios Kaspersky, "esto confirma una vez más que no todo lo que empieza con WWW. ni lo que termina con .COM es un sitio Web".
El gusano posee además, algunas rutinas que lo hacen de cuidado, la más importante la gran capacidad de propagación.
Si la fecha del sistema está entre el 25 y el 29 de enero de 2002, el virus lanza sus rutinas de instalación y propagación. Pero además, el virus examina el sistema en que se instala, y si detecta el soporte para el idioma ruso, simplemente termina su acción sin hacer nada más.
Cuando se instala, el gusano es capaz de enviarse a si mismo a las direcciones recogidas de la libreta de direcciones de Windows, y las extraídas de las bases de mensajes
.DBX del Outlook Express.
El gusano crea una conexión directa con un servidor SMTP remoto y discretamente, con los datos del usuario de la computadora infectada, envía sus copias a las direcciones recogidas antes.
Como confirmación de la infección, el virus también envía un mensaje (pero limpio, sin virus) a la dirección
napster@gala.net.
Como efecto colateral, si la computadora atacada tiene Windows NT, 2000 o XP, el gusano instala un programa espía con posibilidades de control remoto sin la autorización del usuario afectado. Esto hace que un intruso pueda llegar a obtener el control total de la computadora infectada.
Por otra parte, dependiendo de ciertas condiciones, W32/Myparty, puede abrir la dirección
http://www.disney.com en la ventana actual del navegador.
Descripción
El gusano, está comprimido con la utilidad UPX, y ha sido creado en Visual C++. Incorpora en su código, una servidor SMTP que usa para enviarse a si mismo a todas las direcciones recogidas como ya vimos antes, de la libreta de Windows
(.WAB) y de las bases de mensajes del Outlook Express (.DBX).
Llega en un mensaje con las siguientes características:
Asunto: new photos from my party!
Texto del mensaje:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
Archivo adjunto: www.myparty.yahoo.com
Cuando el usuario hace doble clic sobre el enlace (pensando se trata de una página Web), ejecuta el código del virus, un ejecutable
.COM de 26 Kb.
Cuando esto ocurre, se muestra una salida a DOS por unos segundos (puede ser imperceptible en una máquina rápida).
En esos momentos el gusano realiza las siguientes acciones:
1. Obtiene el servidor SMTP por defecto del usuario, de la siguiente clave del registro:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001
2. Obtiene la ubicación de la libreta de direcciones de Windows
(Windows Address Book, .WAB), de la siguiente clave:
HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4\WAB Filename
3. Obtiene la ubicación de la base de mensajes del Outlook Express de la siguiente clave:
HKEY_CURRENT_USER\IDENTITIES\[identificación]\
Software\Microsoft\Outlook Express\5.0\Store Root
Luego, se copia a si mismo en esta ubicación:
Bajo Windows 95, 98 y Me:
C:\Recycled\REGCTRL.EXE
Bajo Windows NT, 2000 y XP:
C:\REGCTRL.EXE
Si el virus se ejecutó desde un e-mail infectado, es movido al directorio
Recycled o Recycler, con los siguientes nombres:
C:\Recycler\F-[número]-[número]-[número]
C:\Recycled\F-[número]-[número]-[número]
donde [número] serán números de cinco cifras, seleccionados al azar
Por ejemplo:
C:\Recycler\F-56983-23813-95363
C:\Recycled\F-37153-12832-30074
Si el gusano encuentra instalado el soporte para teclado ruso
(0419), entonces se copia a si mismo en las carpetas Recycled o
Recycler, y sale sin hacer nada más.
En conclusión, el gusano trabaja solo del 25 al 29 de enero de 2002, y solo en computadoras sin teclado en idioma ruso.
Si, en cambio, tiene una extensión .COM, como en el archivo en el que puede llegar por correo electrónico, se copia en el directorio raíz con el nombre
REGCTRL.EXE (en sistemas NT/2000/XP) o en el directorio
Recycled, en los otros sistemas Windows, llamándose de la misma manera, y lo ejecuta.
Allí comienza su rutina de propagación por correo electrónico antes descripta, dado que sólo en el caso de ejecutarse desde un archivo con extensión .EXE realiza esto. Para propagarse utiliza su propio servidor SMTP.
Sólo en sistemas NT/2000/XP, intenta copiarse además en el directorio de inicio con el nombre
MSTASK.EXE.
El mensaje enviado, es igual al visto antes.
MSSTASK.EXE
Nombre: Troj/Msstake.A
Tipo: Caballo de Troya de acceso remoto
Alias: Troj_Msstake-A, BackDoor-AAF
Troj/Msstake.A es un caballo de Troya de acceso remoto, que permite que otros usuarios puedan acceder a su computadora a través de la red. Es liberado por el W32/MyParty, si el sistema operativo es Windows NT, 2000 o XP. No funciona en Windows 95, 98 y Me.
Cuando el virus W32/Myparty es ejecutado sobre máquinas con Windows NT, 2000 o XP, se copia este troyano de acceso remoto en el directorio inicio
(Startup) perteneciente a la cuenta (profile) del usuario que está utilizando el sistema operativo:
[profile]\Start Menu\Programs\Startup\msstask.exe
Esto asegura que el backdoor sea ejecutado cada vez que el sistema operativo se inicie, quedando residente en memoria.
W32/Myparty sólo se envía a si mismo a través del correo, y copia los componentes del backdoor si la fecha del sistema operativo está en el rango del 25 al 29 de enero.
Fuera de este rango de fecha, el backdoor no es copiado.
MSSTASK.EXE está comprimido con UPX, y tiene un tamaño de 6,144 bytes (Al descomprimir el archivo, el tamaño es de 152,064 bytes).
Una vez ejecutado, el backdoor trata de conectarse a la dirección: http://209.151.250.170/, para descargar el archivo de comando que opera el backdoor. El sitio http://209.151.250.170/ ya ha sido dado de baja.
Variante W32/MyParty.B
Nombre: W32/MyParty.B
Alias: WORM_MYPARTY.B, MYPARTY.B, W32.Myparty.B@mm
Esta variante del MyParty, es una copia idéntica al anterior, salvo estas diferencias:
a. Tamaño del virus: 28,160 Bytes (descomprimido)
b. En lugar del 25 al 29 de enero, esta versión se activa del 20 al 24 de enero, por lo que en computadoras con la fecha bien, no significa ningún riesgo.
c. El mensaje enviado es idéntico, salvo el nombre del adjunto, que ahora es:
myparty.photos.yahoo.com
Cómo borrar manualmente el virus
Para borrar manualmente el gusano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Luego, siga estos pasos:
En Windows 95, 98, Me:
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Teclee REGCTRL.EXE y pulse ENTER
3. Borre REGCTRL.EXE si aparece
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
En Windows NT, 2000 y XP:
1. Pulse CTRL+ALT+SUPR
2. Seleccione el manejador de tareas
3. Seleccione la lengüeta Procesos
4. Busque el proceso "MSSTASK.EXE"
5. Si lo encuentra, pulse en el botón de terminar el proceso.
6. Revise su sistema con al menos dos antivirus actualizados, y borre los archivos detectados como infectados por el gusano
W32/Myparty.
Notas:
Si el sistema operativo instalado es Windows Me, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|