VSantivirus No. 798 - Año 6 - Sábado 14 de setiembre de 2002
W32/Pepex.A (Pibi). Datos adjuntos: Setup.exe
http://www.vsantivirus.com/pepex-a.htm
Nombre: W32/Pepex.A
Tipo: Gusano de Internet
Alias: I-Worm.Pepex, W32.Jonbarr@mm, Win32.PiBi.A@mm, W32/Pibi@MM
Fecha: 13/set/02
Tamaño: 32,256 bytes
Plataforma: Windows 32-bits
Este gusano con capacidad de envío masivo a través del correo electrónico, IRC y redes Peer-to-Peer como KaZaa, utiliza direcciones obtenidas del caché de páginas visitadas.
En el caso del correo electrónico, el mensaje que lo contiene, puede tener una de las siguientes configuraciones:
De:
[dirección usuario infectado]
Asunto:
Hello
Texto:
You will find all you need in the attachment.
Datos adjuntos:
Setup.exe
De:
john@barrysworld.com
Asunto:
Hello
Texto:
You will find all you need in the attachment.
Datos adjuntos:
Setup.exe
De:
"Microsoft" <information@microsoft.com>
Asunto:
Internet Explorer vulnerability patch
Texto:
You will find all you need in the attachment.
Datos adjuntos:
Setup.exe
En este último, cómo dirección de respuesta (Reply-To) figura la siguiente:
"Microsoft" <microsoft@microsoft.com>
Cuando SETUP.EXE es ejecutado por el usuario, el gusano muestra la siguiente ventana con un mensaje de error falso:
Error
This program has performed an illegal operation
[ OK ]
Mientras, el gusano finaliza todos los procesos en memoria que contengan la cadena "av" o "AV" (generalmente procesos de conocidos antivirus).
Una copia del gusano es creada en la carpeta Windows\System:
C:\Windows\System\WINSYSxxx.EXE
Las "xxx" representan un número de dos o tres dígitos, ej.:
winsys205.exe
winsys76.exe
winsys145.exe
También se crea la siguiente entrada en el registro para permitir su ejecución en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows task32 sys = C:\Windows\System\WINSYSxxx.EXE
El gusano intenta utilizar la aplicación WINZIP32.EXE para crear una versión comprimida (.ZIP) de si mismo en la carpeta Windows\System:
C:\Windows\System\WIN32SYSxxx.ZIP
Las "xxx" corresponden a tres dígitos similares a los de
WINSYSxxx.EXE.
También sobrescribe el archivo SCRIPT.INI del programa mIRC, con las instrucciones para enviar el archivo .ZIP creado, a todos los usuarios que compartan los mismos canales de chat a los que se conecte la computadora infectada.
Si WINZIP32.EXE no existiera en el sistema infectado, el envío a través del IRC falla, pero SCRIPT.INI igualmente es modificado.
Una versión codificada en base64 (un estándar para el envío a través del correo electrónico) es creada en el raíz de la unidad C: con el nombre de
MSBOOTLOG.SYS:
C:\Msbootlog.sys
Este archivo es usado por el gusano para su rutina de propagación vía e-mail.
Las direcciones de correo a las que se envía, son tomadas de los archivos .HTM localizados en las carpetas de Archivos temporales de Internet y sus subcarpetas.
El gusano envía un mensaje como los descriptos antes a cada dirección localizada.
Los datos de la cuenta de correo actual, y servidor SMTP, son tomadas del registro, o en su defecto el gusano utiliza los siguientes datos incluidos en su código:
john@barrysworld.com
smtp.barrysworld.com
En el caso de dicho servidor, está configurado para enviar mensajes cada 50 segundos.
También examina el registro, para localizar la carpeta de transferencia utilizada por el programa KaZaa. De localizarla, se copia a si mismo allí, con los siguientes nombres:
icq2002.exe
mirc6.exe
winamp.exe
wincrack.exe
Si la carpeta no existe, esos archivos se copian en el raíz de C.
Después que se produce la infección, el gusano crea la siguiente entrada en el registro:
HKLM\Software\RedCell
infected = yes
Cuando la fecha actual es 15 de
setiembre, una ventana de mensajes con el siguiente texto es mostrada:
I-Worm/PiecebyPiece
"Cause nothing ever lasts forever
We're like flowers in this vase, together
You and me, it's pulling me down
Tearing my down, piece by piece
And you can't see
That's it's like a disease
Killing me now, it's so hard to breathe"
-Feeder <Piece by Piece>
[ OK ]
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: Tools > Options.
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta 'Traffic'.
Reparación manual
1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
Windows task32 sys
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\RedCell
5. Pinche en la carpeta "RedCell" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|