|
VSantivirus No. 904 - Año 7 - Sábado 28 de diciembre de 2002
W32/Opasoft.M. Ejecuta "MSTASK.EXE" y borra CMOS y duro
http://www.vsantivirus.com/opasoft-m.htm
Nombre: W32/Opasoft.M
Tipo: Gusano de Internet
Alias: W32/Opaserv.worm.n, Trojan.Win32.KillWin.m.2, W32/Opaserv-H, W32/Opaserv.M
Fecha: 27/dic/02
Tamaño: 20,480 bytes
Plataforma: Windows 32-bits
Opasoft.M (algunos antivirus denominan esta versión con la letra 'H', 'L' o 'N') es similar en sus funciones a
Opasoft.A, y se propaga a través de los recursos compartidos con acceso permitido (unidad C). Se aprovecha de una vulnerabilidad que permite el acceso remoto aún sin conocer la contraseña, en caso de tenerla.
Diferencias de la versión 'M':
No se conecta a una página Web para verificar si existen versiones nuevas de si mismo.
Al igual que Opasoft.J (L), posee capacidades de caballo de Troya del tipo Backdoor y es capaz de activarse si la fecha es igual o superior al 24 de diciembre de 2002.
Si se activa en ese día, puede borrar el contenido de la CMOS y del disco duro, en una acción muy similar a la causada por el virus CIH.
Para ello, intenta liberar un troyano en C:\MSLICENF.COM (1706 bytes), el cuál posee la capacidad de borrar el disco duro. Para ello modifica el archivo
AUTOEXEC.BAT, y reinicia la computadora utilizando el archivo también liberado por el gusano,
BOOT.EXE. Eso activa el borrado del disco al ejecutarse el
AUTOEXEC.BAT modificado que a su vez lanza al archivo "MSLICENF.COM" y luego lo ejecuta.
Cuando "MSLICENF.COM" es ejecutado, se despliega una ventana con el siguiente mensaje, cuando ya ha empezado a borrarse el contenido del disco duro:
NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
If you are outside the USA, please look up the correct contact information on our website, at:
www.bsa.org
Business Software Alliance
Promoting a safe & legal online world.
Cuando esta versión del gusano (que ha sido comprimida y encriptada), detecta una unidad C accesible a través de los recursos compartidos, copia el archivo
MSTASK.EXE en el directorio de Windows de dicha unidad:
C:\Windows\MSTASK.EXE
'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).
Al mismo tiempo, en las máquinas remotas, el gusano crea un archivo llamado WIN.INI en el raíz de la unidad C, copiando el contenido del archivo
C:\Windows\WIN.INI original en él. Luego agrega la siguiente entrada en la sección
[windows] de WIN.INI:
Run = C:\Windows\MSTASK.EXE
También crea una sección nueva en WIN.INI y agrega estos datos:
[msappfont]
value= [valor]
font= [valor]
style= [valor]
Después copia el contenido de C:\WIN.INI sobre
C:\Windows\WIN.INI (para impedir su reinstalación, se debe eliminar también el archivo
C:\WIN.INI).
Esto permite que el archivo MSTASK.EXE se ejecute al reiniciarse la computadora remota.
Con el mismo objetivo, también agrega la siguiente clave al registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Mstask = C:\Windows\MSTASK.EXE
Esta versión del gusano también modifica los archivos
AUTOEXEC.BAT, BOOT.INI y MSDOS.SYS, agregando las siguientes líneas:
En AUTOEXEC.BAT:
@MSLICENF.COM
En BOOT.INI:
[boot loader]
default=C:\
C:\="Previous Operating System on C:"
En MSDOS.SYS:
[Options]
Logo=0
En Windows Millenium, para poder realizar el borrado de la CMOS y todo el contenido del disco duro, el gusano modifica también los siguientes archivos:
- IO.SYS, en el directorio raíz, con un tamaño de 1428 Bytes.
- COMMAND.COM, en el directorio raíz, con un tamaño de 1 Byte.
- REGENV32.EXE, en el directorio \SYSTEM de Windows Me.
Después de la acción del gusano, pueden aparecer los siguientes archivos en la computadora infectada:
C:\WIN.INI
C:\Windows\MSTASK.EXE
C:\Windows\MSBIND.DLL
C:\Windows\MSCAT32.DLL
C:\MSLICENF.COM
\BOOT.EXE
\BOOTSECT.DOS
MSTASK.EXE es una copia del propio gusano, mientras que
MSBIND.DLL y MSCAT32.DLL contienen información cifrada sobre otras computadoras infectadas.
MSLICENF.COM, BOOT.EXE y BOOTSECT.DOS son el troyano y los archivos necesarios para realizar su acción destructiva si la fecha es superior al 24 de diciembre.
WIN.INI en el raíz de C, se genera al propagarse el gusano a través de los recursos compartidos en cada máquina infectada.
Forma de propagación
Este gusano posee la capacidad de propagarse a través de recursos compartidos en redes de computadoras usando el puerto 139 (Netbios,
NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes
Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el
puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos.
Para estas acciones, el gusano hace uso del protocolo de comunicación llamado
SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS-Windows para acceder a los recursos compartidos de una red, a través del
puerto 139 (NetBeui en sistemas Microsoft Windows).
Para acceder a estos recursos, el gusano se aprovecha de una vulnerabilidad conocida desde hace mucho tiempo, respecto a la forma en que
Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña.
La corrección para esta falla en esos sistemas operativos, está disponible desde octubre de 2000
(http://www.microsoft.com/technet/security/bulletin/ms00-072.asp).
Todos los usuarios que utilicen la opción de compartir archivos e impresoras con
Windows 95, 98, 98 SE y Me, deben descargar e instalar el parche desde dicho enlace.
Desde que la falla fue revelada, existen códigos que explotan esta vulnerabilidad, pero Opasoft es el primer gusano que se aprovecha realmente de la misma.
Esta falla no afecta ni a Windows NT, ni 2000 ni XP. Adicionalmente, en las versiones vulnerables de Windows solo pueden verse afectados recursos compartidos con el mismo nivel de acceso permitido (dominio), y en Windows 95, 98, 98 SE y Me, solo existe el nivel de usuario.
Los primeros reportes de Opasoft sugerían que podía propagarse a través de recursos abiertos (sin contraseñas), y para evitar su propagación se aconsejaba no mantener estos configurados sin autenticación mediante contraseñas. Esto es incorrecto. Opasoft se propaga explotando la vulnerabilidad mencionada, intentando específicamente copiarse al recurso
"C", que es el nombre por defecto para el raíz de la unidad de disco
"C:", siempre que tenga el acceso de lectura y escritura habilitados, o también a través de direcciones IP seleccionadas al azar.
No corregir esta vulnerabilidad, hace que todo procedimiento de desinfección sea inútil, ya que una computadora volvería a infectarse al conectarse a una red o a Internet.
La presencia de un cortafuegos que bloquee el acceso mediante Netbios, también impide la propagación del gusano (como
ZoneAlarm a nivel doméstico, por ejemplo).
El hecho que el servidor desde donde el gusano podría actualizarse mediante la descarga de un archivo, haya sido dado de baja, hace que el único riesgo que este gusano presenta por el momento, es el de su propagación.
Las instrucciones para remover este gusano son las mismas que para el
Opasoft.A: http://www.vsantivirus.com/opasoft-a.htm
Más información:
W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm
W32/Opasoft.B. Variante del Opasoft.A en la calle
http://www.vsantivirus.com/opasoft-b.htm
W32/Opasoft.D. Nueva variante y cómo se propaga
http://www.vsantivirus.com/opasoft-d.htm
W32/Opasoft.F. Se copia en "C:\Windows\Alevir.exe"
http://www.vsantivirus.com/opasoft-f.htm
W32/Opasoft.G. Se copia en "C:\Windows\Puta!!.exe"
http://www.vsantivirus.com/opasoft-g.htm
W32/Opasoft.H. Se copia como "MARCO!.SCR"
http://www.vsantivirus.com/opasoft-h.htm
W32/Opasoft.I. Se copia como "INSTIT.BAT"
http://www.vsantivirus.com/opasoft-i.htm
W32/Opasoft.J. Usa "MQBKUP.EXE", borra duro y CMOS
http://www.vsantivirus.com/opasoft-j.htm
W32/Opasoft.K. Usa "MSTASK.EXE" para propagarse
http://www.vsantivirus.com/opasoft-k.htm
W32/Opasoft.M. Ejecuta "MSTASK.EXE" y borra CMOS y duro
http://www.vsantivirus.com/opasoft-m.htm
El ISC advierte sobre aumentos de escaneos al puerto 137
http://www.vsantivirus.com/30-09-02.htm
Curiosidades del puerto 137
http://www.vsantivirus.com/p137.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|