Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: I-Worm.Universe. Aún no es un peligro... pero...
 
VSantivirus No. 201 - Año 5 - Jueves 25 de enero de 2001

Nombre: I-Worm.Universe
Tipo: Gusano de Internet
Alias: W98.Universe.Worm
Tamaño: 12 Kb aprox.
Fecha: 24/ene/01

Posee similitudes al Hybris, y aún no ha sido visto en "lo salvaje", o sea activo. Además contiene algunos errores que impiden su correcto funcionamiento, aunque una próxima variante podría solucionar esto.

Al tratarse de una versión capaz de actualizarse vía Internet (similar al Hybris), nuevas versiones podrían surgir en muy poco tiempo.

Puede llegar en un mensaje con el asunto "Virus Alert" y un adjunto llamado "uniclean.zip", que en realidad es un .EXE. Bajo una instalación normal de Windows, este archivo no podrá ejecutarse. Un plugin u otro virus, podría modificar el registro de Windows en el futuro para que esto ocurriera. O directamente podría distribuirse con otro nombre.

Bajo Windows NT/2000, no se ejecutará un archivo con extensión .ZIP, a menos que exista una aplicación asociada a esa extensión. Sin embargo, el código del virus parece indicar que está escrito para operar en Windows 98.

Se trata de un gusano de Internet, capaz de propagarse a través del correo electrónico, en un archivo adjunto, o a través de los canales de IRC.

También es capaz de afectar los archivos comprimidos en formato RAR, agregándose al contenido de ellos.

Como vimos, este gusano, al igual que otros como el "Hybris", puede ser actualizado a través de "plugins".

El componente principal del gusano, un archivo EXE de Win32 de unos 12 Kb, es enviado adjunto a un mensaje o descargado a través de una conexión a los canales de chat (IRC).

Este archivo actualmente es un .ZIP, por lo que no podrá ejecutarse. Sin embargo, si lo hiciera, se comportaría como un cargador (loader), que se conecta a una página Web (http://hyperlink.cz/benny/viruses/) y toma de allí otros componentes (plugins), los cuáles luego ejecuta.

De esta manera, la funcionalidad y las características del virus, dependerán totalmente de estos plugins. Al momento (24/ene/01), se conocen cinco de estos plugins.

Todos los elementos conocidos del gusano (el EXE principal y los plugins), están comprimidos con la utilidad TeLoc, que compacta archivos ejecutables PE de Win32 (no todos los antivirus abren este formato).

Además del "error" del .ZIP, el código del gusano posee otros "bugs", y los archivos infectados pueden llegar a bloquear el sistema en muchos casos, además de fallar en enviar sus copias a través de Internet.

Componente principal

Cuando el componente principal (el EXE) es ejecutado (no lo hará bajo las condiciones actuales, como vimos, a menos que sea renombrado), el virus se instala en el sistema como un servicio de Windows, permaneciendo oculto como tarea (no es visible con CTRL+ALT+SUPR).

Luego se copia a si mismo al directorio C:\WINDOWS\SYSTEM con el nombre de MSVBVM60.EXE (existe un archivo llamado MSVBVM60.DLL, una librería de VisualBasic que nada tiene que ver con el virus, pero la similitud busca confundir al usuario). También modifica el registro de Windows (SOFTWARE\Microsoft\Windows\CurrentVersion\Run) para poder ejecutarse (C:\WINDOWS\SYSTEM\MSVBVM60.EXE) en cada reinicio de la computadora.

Cuando la PC se conecta a Internet, el gusano establece una conexión a la página "http://hyperlink.cz/benny/viruses", y toma los plugins de allí.

Estos plugins están listados en un archivo especial en el sitio. Al descargarlos a la PC infectada, el virus los guarda en C:\WINDOWS\SYSTEM con nombres como estos:

MSVBVM6A.DLL
MSVBVM6B.DLL
MSVBVM6C.DLL
[...] etc..

Estos plugins están encriptados con el algoritmo RSA (algo similar a lo que hace el Hybris). El virus los desencripta antes de usarlos.

Luego, el gusano se pone a "dormir" por algún tiempo (esto se selecciona al azar, en un lapsus de hasta 5 minutos), y luego repite los pasos anteriores nuevamente.

El componente principal del gusano contiene este texto:

[I-Worm.Universe] by Benny/29A


Plugin: "Payload"

Este plugin, dependiendo de la hora del sistema, llama a uno de estos tres procedimientos:

1. Afecta al Internet Explorer, cambiando las páginas de inicio, local y búsqueda por la de "http://www.therainforestsite.com"

2. Descarga la imagen UNIVERSE.JPG del sitio del gusano, y la coloca como papel tapiz del escritorio. Esta imagen representa un remolino.

3. Modifica el escritorio de Windows, moviendo en forma al azar, sectores en forma de bloques.


Plugin: "Feedback"

Este plugin es capaz de reportar acerca de la PC infectada a su presunto autor, enviando un mensaje a "benny_29a@hushmail.com". El reporte contiene la fecha y la hora de la infección, y el nombre de la computadora.


Plugin: "Mail"

Este plugin escanea todos los archivos HTML en los directorios del caché de Internet, toma de allí direcciones de correo electrónico, y envía mensajes a esas direcciones, utilizando un servidor SMTP para propagarse. Los mensajes poseen este diseño:

De: "Microsoft Support" <support@microsoft.com>
Reply-To: "Peter Szor" <pszor@symantec.com>
Para: "Mikko Hypponen" <mikko.hypponen@f-secure.com>
Asunto: Virus Alert
Archivo adjunto: UNICLEAN.ZIP

Texto: 
Dear user

F-Secure, Symantec and Microsoft, top leaders in IT technologies have discovered one very dangerous Internet worm called I-Worm.Universe in the wild. Author of this viral program is well known hacker from Europe under "Benny" nickname from 29A virus writting group. Universe is fast-spreading worm that already destroyed computer systems in FBI and Microsoft. It is heavilly encrypted and very complex. It consists from many independed parts called "modules", which are very variable - every second hour is producted one new module, that completelly changes behaviour of worm, including anti-detection tricks. You should check your system by our anti-virus attached to this mail. All reports please send to our mail address:

universe@microsoft.com and/or universe@f-secure.com

Have a nice day,

F-Secure, Symantec and Microsoft, top leaders in IT technologies.

El archivo adjunto es actualmente el componente de descarga, un archivo .EXE a pesar de su extensión .ZIP. Si la víctima intenta abrir este archivo con WinZIP o similares, se producirá un mensaje de error como este:

WinZip

Cannot open file: it does not appear to be a valid archive.
If you downloaded this file, try downloading the file again.
Please press F1 for help.

[ Aceptar ]

El gusano por lo tanto no se activaría bajo una instalación estándar de Windows.


Plugin: "Mirc"

Este plugin descarga un nuevo SCRIPT.INI en el directorio C:\MIRC32 si éste existiera, con las instrucciones necesarias para enviar el cargador a cualquier usuario que entrara al mismo canal de IRC al que se conecte la PC infectada.

El archivo SCRIPT.INI incluye también este texto:

;Default mIRC32 script
;** DO NOT EDIT **


Plugin: "RAR"

Con este plugin, el gusano es capaz de copiarse dentro de paquetes comprimidos con la utilidad de compresión RAR.

Fuente: Kaspersky, Symantec

 

Copyright 1996-2001 Video Soft BBS