Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Paukor. Un gusano que captura todo lo tecleado
 
VSantivirus No. 478 - Año 5 - Lunes 29 de octubre 2001

Nombre: W32/Paukor
Tipo: Gusano de Internet y Caballo de Troya
Alias: I-Worm.Paukor
Tamaño: 450 Kb (aprox)
Fecha: 28/oct/01

Este gusano se propaga a través de mensajes con adjuntos infectados, y además, tiene capacidades de troyano, ya que instala un capturador de teclado, y envía el resultado a Internet.

El gusano en si mismo, es un ejecutable en formato PE (Portable Executable) de Win32, escrito en Delphi, y de unos 450 Kb de tamaño.

El mensaje infectado contiene como adjunto un archivo de nombre FILES.EXE (el gusano propiamente dicho), y con diferentes textos seleccionados al azar.

La primera línea del cuerpo del mensaje es seleccionada de una de estas dos opciones:

Hi!
Hello,

La última línea del texto del mensaje es seleccionada al azar de una de las siguientes opciones, o bien es una línea en blanco:

Regards,
Your friend,
Best Regards
Kind Regards

Esto es completado con el nombre del usuario, tal cuál aparece en sus mensajes normales.

Estas son las variantes posibles:

----

Asunto: Your loved one in indecent pictures :(
Texto:

[Hi! o Hello,]

I'm sorry I have to send you these compromising pictures
with the one you love, or you loved. You will know where 
they were taken as soon as you see them.

I' compressed it as a self extracting archive because I 
din't knew if you have WinZip. When you run it, it should 
display the extract dialog. I'm really sorry I had to be 
the one who told you about this.

[Regards, o Your friend, o Best Regards o Kind Regards o nada]
[Nombre del usuario infectado]

----

Asunto: Surprise for you!
Texto:

[Hi! o Hello,]

I have a surprise for you. It's a electronic card made by 
myself :). It contains some graphics and sound and I had to 
compress it as self extracting archive. :))

I hope you like it, please see the attached file.

[Regards, o Your friend, o Best Regards o Kind Regards o nada]
[Nombre del usuario infectado]

----

Asunto: Pictures from the last party
Texto:

[Hi! o Hello,]

Here are the pictures from the last party. Some of them are 
so funny! I compressed them as self extracting archive as 
they were too large, over 2.1 Mb! :))

I made the archive self extracting, because I din't knew if 
you have WinZip. When you run it, it should display the 
extract dialog.

Please let me know what you think. :)

[Regards, o Your friend, o Best Regards o Kind Regards o nada]
[Nombre del usuario infectado]

----

Asunto: No subject
Texto:

[Hi! o Hello,]

Here are some files related to what we have talk about.

I made the archive self extracting, because I din't knew if 
you have WinZip. When you run it, it should display the 
extract dialog.

Please let me know what you think. :)

[Regards, o Your friend, o Best Regards o Kind Regards o nada]
[Nombre del usuario infectado]

----

En todos ellos el archivo adjunto es:

FILES.EXE

Si el usuario ejecuta este archivo, el gusano se instala en el sistema, copia en él algunos elementos adicionales, y ejecuta su rutina de propagación.

El gusano posee estos componentes:

Componente principal

Cuando el archivo FILES.EXE es ejecutado, el gusano crea estos elementos en la carpeta Windows (C:\Windows por defecto):

C:\Windows\SYSTRAY.EXE (66 Kb)
C:\Windows\CWAB.EXE (341 Kb)
C:\Windows\MSP.DLL (20 Kb)

Los tres son archivos en formato PE, escritos en Delphi. Los archivos SYSTRAY.EXE y CWAB.EXE son ejecutados por el propio gusano luego de crearlos.

El propio ejecutable del gusano (FILES.EXE) es copiado en C:\Windows, mientras se muestra un falso mensaje simulando es un archivo comprimido corrupto (en realidad el gusano ya se ha copiado y creado sus principales elementos como ya vimos):

Error
This WinZip archive seems to be incomplete.
Please download again the file,
or contact the vendor for an other copy.
[    OK    ]

El componente CWAB.EXE

Este componente es el encargado de propagar al gusano vía e-mail, y además de enviar un reporte con la captura de lo tecleado (keylog), al host del gusano (cuyas direcciones corresponden al dominio @yahoo.com y a @softhome.com).

Los mensajes con el gusano adjunto (FILES.EXE), son enviados a contactos tomados de direcciones obtenidas de la libreta de Windows (WAB, Windows Address Book). Para hacerlo, CWAB.EXE se conecta con su propia rutina al servidor SMTP usado por la víctima.

CWAB es llamado por el mismo gusano (FILES.EXE). Si por alguna razón quisiéramos ejecutar CWAB.EXE en forma directa, solo mostraría el siguiente mensaje, sin hacer nada más:

Error
This program is used internaly by Windows.
It is not intended to by launched directly.
[    OK    ]

Los componentes SYSTRAY.EXE y MSP.DLL

Ambos forman el capturador de lo tecleado por la víctima (keylogger). Cuando se ejecuta SYSTRAY.EXE por primera vez, este componente modifica la siguiente entrada del registro, para poder ser ejecutado en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

La librería MSP.DLL es parte del "keylogger", y es la que además copia a un archivo MSP.DAT lo capturado. Este archivo es el enviado al host del autor del virus, como ya vimos.

En su código, el gusano contiene el siguiente comentario:

PayK Worm
Copyright (c) 2001 by TheShadow
Disclamer: This program has been made for educational
and research porposes only.

Como sacar el virus de un sistema infectado

Para eliminar el virus manualmente, siga estos pasos:

1. Primero ejecute un antivirus al día.

2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la entrada "MSP":

Msp = C:\Windows\SYSTRAY.EXE

5. Utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios. Luego reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Busque y borre los siguientes archivos, si existen:

C:\Windows\FILES.EXE
C:\Windows\SYSTRAY.EXE
C:\Windows\CWAB.EXE
C:\Windows\MSP.DLL
C:\Windows\MSP.DAT

7. Borre el o los mensajes recibidos con el adjunto FILES.EXE

8. Vacíe la carpeta de elementos eliminados del programa de correo y la papelera de reciclaje desde el escritorio de Windows.

Glosario: 

Archivos PE (Portable Executable) - Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.

Relacionados:

VSantivirus No. 490 - 10/nov/01
W32/Paukor.B. Variante del Paukor, borra archivos
http://www.vsantivirus.com/paukor-b.htm


Fuente: Kaspersky Antivirus (AVP)

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS