I-Worm.Sonic
I-Worm.Sonic.a
I-Worm.Sonic.b
I-Worm.Sonic.27
I-Worm.Sonic.28
I-Worm.Sonic.29
I-Worm.Sonic.40

Se trata de un gusano de Internet, capaz de infectar archivos Win32, y de propagarse a través del correo electrónico, a través de archivos .EXE adjuntos.

El gusano es capaz de actualizarse a si mismo a través de la conexión a un sitio Web.

Consta de dos componentes principales: el cargador (loader) y la rutina principal (main).

El cargador, es un archivo ejecutable (EXE) de Windows, escrito en C++, de un tamaño de aproximadamente 25 Kb (comprimido con la utilidad UPX PE EXE files compression utility), su verdadero tamaño es de 70 Kb. Cuando el cargador se ejecuta (al pinchar con el mouse sobre un adjunto que lo contenga), el procede a registrarse a si mismo como un proceso oculto (como un servicio, no visible en la lista de tareas al pulsar ALT+CTRL+SUPR), y se copia al directorio del sistema de Windows con el nombre GDI32.EXE. Modifica la siguiente rama del registro para ejecutarse en el próximo reinicio del PC infectado (una de ambas entradas):

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
GDI = C:\Windows\System\GDI32.EXE

o

GDI = C:\Windows\GDI32.EXE

El virus utiliza este nombre como camuflaje, ya que en el directorio SYSTEM  (el camino completo puede variar si se instaló Windows en una carpeta diferente a C:\Windows), existen otros dos archivos de nombres parecidos (GDI.EXE y GDI32.DLL).

Para esconderse, el gusano despliega este mensaje falso (uno de ambos):

[Nombre_del_archivo] n' est pas une application Win32 valide.

o

[Nombre_del_archivo] is not a valid Win32 application.

donde [Nombre_del_archivo] es el nombre del archivo que fue ejecutado.

Luego de esto, activa el proceso principal (main), que busca en una página Web los siguientes archivos:

LASTVERSION.TXT
nn.ZIP
GATEWAY.ZIP

El primero (LASTVERSION.TXT) posee el número de la versión más nueva. El segundo (donde "nn" corresponde al número de versión relatado en el TXT anterior), no es un archivo ZIP, sino un ejecutable encriptado de Windows, y corresponde a la última versión del componente principal. Y finalmente, GATEWAY.ZIP (que tampoco es un archivo comprimido), corresponde a la última versión del componente cargador (loader).

El archivo principal (main), es un ejecutable de unos 40K, comprimido con la misma herramienta anterior (UPX), cuyo tamaño real es de unos 120 K. El mismo es instalado en la carpeta WINDOWS\SYSTEM, con el nombre GDI32A.EXE, registrándose en forma similar al cargador, como un servicio. Dependiendo de ciertas condiciones, este componente abre la libreta de direcciones *.WAB (Windows Address Book), y envía a todos los contactos mensajes infectados.

En las versiones conocidas, estos mensajes tienen estas características:

Asuntos (uno de ambos):

Choose your poison
I'm your poison.

Archivos adjuntos (uno de ambos):

GIRLS.EXE
LOVERS.EXE

El cuerpo del mensaje está vacío.

El componente MAIN, también posee habilidades de trojan backdoor, capaz de espiar la computadora infectada, y de controlarla en forma remota.

El código del virus contiene este texto, que no es mostrado:

"SonicYouth"

Para limpiarlo

1) Pulse Inicio, Ejecutar, teclee REGEDIT (+ ENTER)

2) En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada: 

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

Pulse sobre la carpeta "Run".

Si en la ventana de la derecha aparece uno de estos valores (puede variar el camino si instaló Windows en otra carpeta):

GDI = "C:\WINDOWS\SYSTEM\GDI32.EXE"
GDI = "C:\WINDOWS\GDI32.EXE"

Borre la clave completa (marque el nombre "GDI" y pulse DELETE o SUPR).

Conteste que SI a la pregunta de confirmación.

3) Vaya a Inicio, Apagar el sistema. Seleccione "Reiniciar" y OK.

(Antes de seguir con el punto 4, asegúrese de tener habilitada la opción para ver todas las extensiones como se describe en "Habilitar la opción para poder ver las extensiones verdaderas de los archivos" en nuestro sitio).

4) Vaya a Inicio, Buscar, Archivos o carpetas.

5) Teclee "GDI32.EXE" en Nombre, y C:\ en "Buscar en". Si encuentra archivos con ese nombre, márquelos y pulse la tecla SUPR o DELETE para borrarlos.

IMPORTANTE: No confunda GDI32.EXE con GDI.EXE o GDI32.DLL, que son archivos válidos de Windows.

6) Ejecute un antivirus actualizado en su sistema. Para ejecutar F-PROT, siga las instrucciones: "Como ejecutar F-PROT desde un disquete" de nuestro sitio.

Descripción basada en un análisis de Eugene Kaspersky (AVP).