| |
VSantivirus No. 388 - Año 5 - Martes 31 de julio de 2001
Nombre: VBS/Potok@mm
Tipo: Gusano de Visual Basic Script
Alias: VBS.Potok.A, VBS.Stream.A, VBS/VDrive@MM, VBS/Stream
Tamaño: 9262 bytes
Fecha: 30/jul/01
Se trata de un script de Visual Basic, que requiere la presencia de máquina con Windows NT o 2000 para propagarse. Se trata del primer virus conocido que utiliza las características
"NTFS streams" para su funcionamiento.
El gusano se envía a las primeras 50 direcciones de la libreta del Outlook y Outlook Express, e intenta agregar un nuevo usuario a la máquina infectada, para concederle luego los permisos de Administrador.
El mensaje en el que se envía, posee estas características:
Asunto: New Generation of drivers.
Texto: Microsoft has published new driver for all types
Video Cards, compatible with Windows 95/98/NT/2000/XP.
You can read about it in attachment document. Best
wishes, Microsoft.
Nombre del adjunto: driver.doc
.vbs
Entre las dos extensiones (.doc y la verdadera
.vbs), existen 46 espacios. Este simple truco, hace que a pesar de tener habilitada la opción para ver la verdadera extensión de los archivos, esta permanezca oculta al quedar fuera de la ventana en que se visualiza.
El gusano utiliza un rasgo conocido de Windows NT y 2000, llamado
"file streams". Bajo Windows NT y 2000, usando
NTFS (1), los archivos pueden contener diferentes "flujos" de datos. A esto se le llama
"file stream". Puede compararse esto a tener varios archivos comprimidos en un solo .ZIP por ejemplo.
Cada stream es accesible como un archivo individual. En Windows 95, 98 o ME, ejecutándose bajo sistemas FAT o FAT32, estos streams no existen. Debido a ello, este gusano no podrá ejecutar parte de su código bajo uno de estos sistemas.
Cuando se ejecuta, se copia en el directorio de Windows con el mismo nombre y truco de doble extensión separada por espacios:
driver.doc
.vbs
Si la unidad actual es una partición NTFS, el código viral se copia en cuatro "streams",
MAIL, MAIN, USER y GROUP.
El primero (MAIL), intentará enviar el mensaje visto anteriormente, con el gusano adjunto, a los primeros 50 contactos de la libreta de direcciones del Outlook, utilizando rutinas MAPI
(2).
El de USER, es el que intentará crear una nueva cuenta en el sistema
(Lord_Nikon).
El de GROUP, es el encargado de agregar el nuevo usuario al grupo del Administrador.
Y finalmente, el MAIN, es el encargado de acceder a la nueva cuenta.
Cada stream se ejecutará con una diferencia de 10 segundos entre ellos.
El gusano agrega estos cuatro streams a un archivo llamado odbc.ini en el directorio de Windows
(C:\WinNT por defecto):
C:\WINNT\ODBC.INI
También crea un archivo notepad.vbs en el directorio
Winnt\system32\ras\:
C:\WINNT\SYSTEM32\RAS\NOTEPAD.VBS
Finalmente, crea el archivo go.vbs en el directorio
Winnt\system32\:
C:\WINNT\SYSTEM32\GO.VBS
Para quitar este gusano de un sistema infectado, ejecute un antivirus al día, y borre los archivos infectados.
También debe borrarse el archivo odbc.ini si es detectado como infectado.
Examine también si existe una nueva cuenta en el grupo de administrador (generalmente
Lord_Nikon), y bórrela.
Glosario:
(1) NTFS es el tipo de partición propietario de Windows NT (y 2000), del mismo modo que FAT y FAT32 lo son de Windows 9x y Me. NTFS implementa seguridad a nivel de archivo. Cada archivo o directorio posee su lista de control de acceso (ACL) conociéndose en todo momento quien tiene derechos sobre él, lo que permite especificar claramente los permisos para el uso de cualquier archivo. Por el contrario un sistema bajo particiones FAT o FAT32, carece totalmente de este tipo de protección en los archivos, siendo estos accesibles por cualquier usuario que use el sistema.
(2) MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.
Fuente: Symantec, Panda, Network Associates, Central Command, Computer Associates
(c) Video Soft - http://www.videosoft.net.uy
|
|
